CONTEÚDO EAD - Segurança da Informação

Prévia do material em texto

CONTEÚDO DE PLATAFORMAS EAD 
SEGURANÇA DA INFORMAÇÃO 
 
 
 
 
 
 
A segurança da informação está diretamente relacionada à proteção de um conjunto de 
informações, no sentido de preservar o valor que possuem para um indivíduo ou uma 
organização. A propriedade em que a informação não é revelada para as entidades sem que 
antes tenha sido autorizada é a: 
✔A. Confidencialidade. 
B. Integridade. 
C. Disponibilidade. 
D. Elasticidade. 
E. Nenhuma das anteriores. 
A segurança da informação é vital para manter os dados seguros e impedir o ataque e o acesso não autorizado às informações sigilosas. Por 
isso, a confidencialidade impede que a informação seja revelada para entidades não autorizadas. 
 
 
 
 
 
 
Controla e protege a rede interna contra acessos externos que não são permitidos. Age como 
um porteiro bloqueando o tráfego indesejado ou não autorizado de entrada ou saída, 
descartando os pacotes de acordo com um conjunto definido de regras de segurança. Esta é a 
definição de: 
A. Pen test. 
B. Port scan. 
✔C. Firewall. 
D. Ethical hacker. 
E. Política de segurança. 
O firewall é um dispositivo que coloca uma barreira entre redes internas protegidas e controladas que podem ser redes externas confiáveis ou 
não, como a Internet. 
 
 
O Distributed Denial of Service (DDoS) é o tipo de ataque mais comum no Brasil e no resto do 
mundo. Ele torna uma página web e seus serviços indisponíveis por meio da realização de um 
número enorme de requisições a seu servidor e, por isso, passa a negar as requisições por 
estar sobrecarregado. Qual a propriedade da segurança da informação que é afetada neste 
tipo de ataque? 
A. Confidencialidade. 
B. Integridade. 
✔C. Disponibilidade. 
D. Elasticidade. 
E. Nenhuma das anteriores. 
Um dos ataques mais comuns acontece por meio de acessos simultâneos massivos a um único alvo, em que o atacante sobrecarrega a rede de 
dados e bloqueia o seu acesso, afetando, assim, a disponibilidade do serviço. 
 
 
 
 
 
____________ é utilizado para quebrar senhas por meio da tentativa de todas as combinações 
possíveis. Trata-se de um software que testa automaticamente milhões de combinações de 
senha até encontrar a correta e, então, invadir o servidor. A resposta correta para a lacuna é: 
A. Phishing. 
✔B. Ataque de força bruta. 
C. Pen test. 
D. Worm. 
E. Ethical hacker. 
Todo sistema de acesso restrito é acessível através do conjunto nome de usuário / senha e um ataque significa tentar adivinhar o conjunto por 
meio de tentativa e erro. Se o invasor souber pelo menos o nome do usuário, já tem um bom caminho andado, pois só irá precisar descobrir a 
senha e é incrivelmente inacreditável como existem senhas óbvias em contas pelo mundo afora. Por isso, o ataque de força bruta é muito 
utilizado, pois testa inúmeras combinações de usuário e senha até encontrar a correta combinação. 
 
 
A gestão de continuidade de negócios deve prever estratégias a serem aplicadas a diversos 
tipos de recursos de uma organização. Entre tais recursos, incluem-se: 
A. Pessoas e recursos financeiros. 
B. Tecnologia, mas não informação. 
C. Informação e meio ambiente. 
D. Suprimentos, mas não pessoas. 
✔E. Pessoas, instalações e informações. 
A resposta a um evento ou incidente requer a mobilização de toda a organização, de forma estruturada, rápida e concisa para diminuir ou 
evitar os impactos negativos. Um Sistema de Gestão de Continuidade de Negócios (SGCN), cria e mantém atualizado e disponível planos e 
procedimentos necessários para uma recuperação efetiva, minimizando os impactos à organização. Os principais recursos utilizados são 
pessoas, instalações e informações.
 
O crescimento da tecnologia exige cada vez mais um pensamento computacional voltado para 
a resolução de problemas, já que a tecnologia também envolve algumas ameaças, como o 
roubo de dados confidenciais. O conhecimento sobre a segurança da informação é 
fundamental para proteger as organizações. Escolha a alternativa correta a respeito da 
segurança da informação: 
A. Os recursos são tidos como os ativos de maior valor de uma organização; por isso, é indispensável que 
sejam protegidos de ameaças. 
B. A segurança da informação reúne diversos procedimentos que têm por objetivo proteger as 
organizações de ameaças exclusivamente digitais. 
C. A segurança da informação envolve um conjunto de ações que visam a proteger as organizações 
especificamente de ameaças externas. 
✔D. Os controles da segurança da informação precisam ser definidos, concretizados, controlados, 
observados e aperfeiçoados sempre. 
E. Por ser o ativo de maior valor de uma organização, a transmissão necessita de uma atenção especial da 
segurança da informação. 
A capacidade de pensamento computacional é fundamental diante do avanço da tecnologia. A tecnologia também apresenta alguns riscos, 
como invasão e roubo de dados confidenciais, sendo necessário ter um sólido conhecimento sobre segurança da informação. Proteger os 
ativos de uma organização é algo fundamental, então, ter uma segurança da informação bem estruturada é um ponto crucial para a 
sobrevivência dessa empresa. Os ativos da tecnologia da informação das empresas envolvem dispositivos de computação, infraestrutura, 
aplicações, serviços e seus dados, sejam eles em transmissão ou armazenados. As informações são os ativos de maior valor de qualquer 
organização, portanto, exigem proteção contra uma grande diversidade de ameaças, acidentais ou deliberadas, necessitando de diferentes 
controles de segurança. A segurança da informação envolve a proteção de informações, sistemas, recursos e demais ativos contra desastres, 
erros (intencionais ou não) e manipulação não autorizada, tendo como objetivo a redução da probabilidade e do impacto de incidentes de 
segurança. Todos esses controles necessitam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados para que 
assegurem que os objetivos do negócio e a segurança da informação da organização sejam atendidos. 
 
A segurança da informação tem a função de proteger a informação e os sistemas de 
informação de possíveis ataques às organizações, tendo como pilares a confidencialidade, a 
integridade e a disponibilidade. Sobre a disponibilidade, pode-se afirmar: 
I. A criptografia e a autenticação são algumas das formas que são usadas para garantir a 
disponibilidade. 
II. A disponibilidade está condicionada também a um sistema eficaz, bem como ao 
funcionamento da rede. 
III. É fundamental que existam planos de recuperação frente aos possíveis desastres, para 
manter a disponibilidade. 
IV. Tem como objetivo assegurar o estado original dos dados, para que sejam assim 
disponibilizados. 
V. Os métodos para a manutenção da disponibilidade dependem diretamente da 
confiabilidade. 
São verdadeiras: 
A. I, III e IV. 
B. II, IV e V. 
✔C. II e III. 
D. I e V. 
E. II e IV. 
Apenas são verdadeiras as afirmações II e III. 
A segurança da informação tem a função de proteger a informação e os sistemas de informação de possíveis ataques às organizações, tendo 
como pilares a confidencialidade, a integridade e a disponibilidade. 
A confidencialidade diz respeito aos dados armazenados e também aos dados que estão sendo transmitidos e precisam ser protegidos 
durante a transmissão. O uso de senhas, criptografia, autenticação e defesa contra ataques de penetração são técnicas que podem ser 
utilizadas para preservar a confidencialidade, o que torna a afirmativa I incorreta. 
A disponibilidade é a garantia de que os dados estarão disponíveis sempre que necessário. Para que isso ocorra e seja eficaz, depende de 
fatores como funcionamento apropriado da rede e eficácia dos sistemas, o que confirma a afirmativa II. 
Planos de recuperação de desastres e backups eficientes são essenciais para que as informações se mantenham disponíveis mesmo em casos 
de acidentes, o que confirma a afirmativa III. 
A integridade tem como objetivo garantir o estado originaldos dados, isto é, certificar que as informações acessadas não foram modificadas, 
destruídas ou sofreram fraudes, o que torna a afirmativa IV incorreta. 
As técnicas usadas para garantir a confiabilidade são o caminho para a integridade, já que um invasor não conseguirá modificar o que não for 
possível acessar, o que torna a afirmativa V incorreta. 
 
A segurança da informação não era alvo de muita preocupação, até surgirem as redes. A 
utilização da internet inseriu muitas vulnerabilidades de segurança, pois ela pode ser 
portadora de atacantes, dentre outras vulnerabilidades. Junto com o crescimento da internet, 
o número de ameaças à segurança também aumentou. Entre essas ameaças, há os ataques 
direcionados. Sobre esse tipo de ataques, considere as afirmações a seguir e classifique-as em 
verdadeiras (V) ou falsas (F). 
( ) O ataque direcionado não segue uma linha específica, pois ele é direcionado às 
informações em geral das organizações. 
( ) São ataques que não tem constância, já que os invasores não permanecem ativos após a 
abordagem inicial. 
( ) Uma das principais ameaças virtuais e exemplo de ataque direcionado é o business 
email compromise. 
( ) O possível invasor estuda muito bem as organizações que pretende atacar e identifica 
um profissional de alta função. 
( ) Os invasores fazem de tudo para que, mesmo após o ataque inicial, o ataque continue 
sendo efetuado. 
Assinale a alternativa que contenha a sequência correta: 
✔A. F – F – V – V – V. 
B. V – F – F – V – V. 
C. F – V – V – F – V. 
D. F – F – V – V – F. 
E. V – V – F – F – F. 
A sequência correta é: F – F – V – V – V. 
A segurança da informação não era alvo de muita preocupação, até surgirem as redes. A utilização da internet inseriu muitas vulnerabilidades 
de segurança, pois pode ser portadora de atacantes, dentre outras vulnerabilidades. Junto com o crescimento da internet, o número de 
ameaças à segurança também aumentou. Entre essas ameaças, temos os ataques direcionados, que usam informações específicas de uma 
empresa, para executar o ataque, sendo, portanto, a primeira afirmativa falsa. 
Esses ataques são persistentes, pois os invasores fazem o possível para que o ataque continue após a penetração inicial, o que confirma a 
quinta afirmativa e torna a segunda afirmativa falsa. 
O business email compromise é um exemplo de ataque direcional e também é uma das principais ameaças virtuais, o que confirma a terceira 
afirmativa. 
O atacante estuda muito bem o seu alvo e faz uso da engenharia social, com o objetivo de induzir as vítimas ao erro, como fazer depósitos em 
uma conta. Ele estuda tão bem a organização a ponto de identificar um profissional de alto cargo e um funcionário da área financeira, por 
exemplo, responsável por pagamentos, o que confirma a quarta afirmativa. 
 
Entre as possíveis ameaças que fazem parte das ações dos cibercriminosos, que usam 
computadores como instrumentos para cometer atos ilegais, há as ameaças persistentes 
avançadas (APT, do inglês advanced persistent threats). A respeito desse tipo de ameaça, 
pode-se afirmar que: 
I. É uma técnica de ataque continuado em que o atacante procura o acesso a um sistema e 
então permanece nele durante um tempo. 
II. O governo e as grandes organizações costumam ser os principais alvos desse tipo de 
ameaças, que usam técnicas como malwares. 
III. O acesso contínuo efetuado a partir da ameaça persistente avançada ocorre por meio de 
quatro etapas bem direcionadas pelo atacante. 
São verdadeiras: 
A. II e III. 
✔B. I e II. 
C. I e III. 
D. III. 
E. I. 
São verdadeiras: I e II. 
Entre as possíveis ameaças que fazem parte das ações dos cibercriminosos, que usam computadores como instrumentos para cometer atos 
ilegais, temos as ameaças persistentes avançadas, que usam técnicas de hacking contínuas — tentativas de explorar sistemas de 
computadores, com propósitos ilícitos —, clandestinas e sofisticadas. Tais técnicas objetivam obter o acesso a um sistema e manter-se dentro 
dele por um longo período, o que confirma a afirmativa I. 
Geralmente, esses ataques são direcionados a alvos como o governo ou grandes organizações. São usadas técnicas como malwares e phishing 
para obter acesso à rede desejada, o que confirma a afirmativa II. 
Kaspersky (2020) afirma que um APT tem como propósito obter acesso contínuo aos sistemas por meio de cinco estágios, o que torna a 
afirmativa III incorreta. 
 
 
 
 
 
 
 
Com as diversas ameaças que estão presentes na rotina dos dispositivos que se encontram 
conectados a uma rede, é fundamental que as organizações tenham um gerenciamento de 
segurança eficiente, que possa proteger os acessos às redes, bem como os dados 
armazenados e transmitidos por meio delas. A respeito do gerenciamento de segurança, 
escolha a alternativa correta: 
A. Como uma das técnicas usadas no gerenciamento de segurança, há a autenticação, que atualmente, 
devido ao avanço das ameaças, já não diminui os riscos de ataques, mesmo quando é exitosa. 
✔B. Uma das formas mais seguras do gerenciamento de segurança, quando se trata da técnica de 
autenticação, é a autenticação em duas etapas de verificação, como o uso do token. 
C. Para um bom gerenciamento de segurança, é importante que, dentro de uma organização, os 
colaboradores possuam acesso às informações dos demais setores dessa organização, mesmo que não 
atuem neles. 
D. As diferentes técnicas que são utilizadas para um gerenciamento de segurança eficiente incluem o 
token e o smartcard, que são senhas individuais fornecidas para os usuários. 
E. No processo de gerenciamento de segurança em que é utilizada a autenticação dos usuários para evitar 
possíveis ameaças, o acesso se dá de forma simplificada, apenas pela senha do usuário. 
Com as diversas ameaças que estão presentes na rotina dos dispositivos que se encontram conectados a uma rede, é fundamental que as 
organizações tenham um gerenciamento de segurança eficiente, que possa proteger os acessos à rede, bem como os dados armazenados e 
transmitidos por meio dessas redes. Para que isso aconteça, é necessária a utilização de algumas técnicas e estratégias de segurança, para 
que sejam evitadas as ameaças. 
A autenticação é uma dessas técnicas, sendo que, nos sistemas de computadores, podem ser usados quatro fatores para autenticar: 
 algo que o sujeito sabe; 
 algo que o sujeito possui; 
 algo que o sujeito é; e 
 o lugar onde o sujeito está localizado. 
A autenticação é um dos principais fatores para qualquer sistema de segurança e, quando é bem-sucedida, diminui os riscos de ataques. A 
forma mais utilizada de autenticação é por meio de usuário e senha. A segurança física depende do segundo fator, algo que o sujeito possui. 
Tokens e smartcards estão sendo muito utilizados pelas empresas como forma de autenticação. Trata-se de dispositivos que devem ser 
conectados fisicamente aos computadores para que o usuário seja identificado e autenticado nos sistemas. A autenticação em dois fatores é 
um mecanismo ainda mais seguro, em que é usada uma combinação de dois dos fatores citados anteriormente, considerando-se apenas os 
três primeiros. Por exemplo, quanto ao token, além da necessidade de possuí-lo fisicamente, o sujeito precisa saber o código de acesso e, só 
então, será autenticado. 
Nos sistemas de segurança, diferentes usuários possuem diferentes autorizações de acesso. Dentro de uma organização, por exemplo, 
colaboradores do setor financeiro não devem possuir acesso aos arquivos do setor de recursos humanos. Dentro de uma rede, essas 
autorizações são dadas de acordo com o nome de usuário, que são nomes únicos definidos para cada usuário. 
 
 
Garantir total segurança no ambiente computacional é impossível. No entanto, existem 
diversas ferramentas que são importantes no monitoramento e na ação em casos de detecção 
de falhas ou de tentativas de invasão. 
Dentro de um documento de PSI, ao falar sobre detecção, é correto afirmar que um grupo 
importantede segurança para esse item é/são: 
A. A lista de equipamentos autorizados. 
B. Os relatórios de invasão enviados ao comitê. 
C. As ferramentas de backup. 
✔D. As ferramentas de alerta e de auditoria. 
E. O banco de dados em ambiente seguro. 
Ao falar em detecção, é correto afirmar que as ferramentas de alerta de auditoria são as responsáveis por identificar intrusos e modificações 
de qualquer natureza no sistema. Já o backup não é uma ferramenta de detecção e sim de recuperação. A base de dados em local seguro não 
representa nenhum tipo de detecção, assim como a lista dos equipamentos autorizados não detectam nenhum tipo de invasão e, por fim, os 
relatórios são apenas informativos, pois não agem no processo de detecção. 
 
 
 
As empresas brasileiras devem prestar proteção aos dados pessoais que estão em sua posse, 
pois, muito mais que o zelo e o cuidado com sua base de conhecimento caso não observem 
essa deliberação, as empresas podem sofrer sanções como advertências, multas, bloqueios 
etc. 
Essa citação é aderente à qual das opções a seguir? 
A. Phishing. 
B. Lei de Segurança de Dados. 
C. DDoS. 
D. ISO 27003:2015. 
✔E. Lei n.° 13.853/2019. 
É correto afirmar que o dever de prestar proteção aos dados pessoais é parte da Lei n.° 13.853/2019, pois ela descreve o zelo e o cuidado 
com a base de conhecimento. Já a Lei de Segurança de Dados não existe. Phishing e DDoS são técnicas de invasão e o ISO 27003:2015 trata da 
organização para implantação de sistemas de informações gerenciais. 
 
 
As informações disponíveis, independentemente do nível ou do local de acesso, são chamadas 
de públicas. Quando acessíveis apenas de dentro das dependências da empresa, são 
classificadas como internas. As credenciadas podem ser visualizadas por um grupo durante 
tempo determinado, e as secretas apenas pela alta gestão e pelos responsáveis pela 
tecnologia da informação. 
Público, interno, credenciados e externos são classificações para que grupo do documento de 
PSI? 
✔A. Tipos de informação. 
B. Níveis de acesso. 
C. Padrões mínimos de qualidade. 
D. Acesso por sazonalidade e tempo determinado. 
E. Monitoramento e auditoria. 
É correto afirmar que são com base na classificação do tipo de informação que são definidos os níveis de acesso de cada colaborador, 
descrevendo regras para aplicativos, arquivos no servidor e acessos a diferentes redes; assim, acessos públicos, internos, credenciados e 
externos são classificações de tipo de informação. Já os níveis de acesso são representados pelos personagens de quem, como e quando 
acessam os dados da empresa. Os padrões mínimos de acesso dizem respeito a outro documento, ao SLA. O acesso pela sazonalidade e por 
tempo determinado é um credenciamento, e o monitoramento e a auditoria não são classificações do PSI. 
 
 
A tradução de VPN é rede privada virtual. Por meio de tráfegos de dados com protocolos 
padrões, é possível garantir o acesso externo com segurança como se estivesse dentro da 
própria empresa. 
Qual item do PSI essa definição atende? 
A. Classificação do tipo de informação. 
B. Segurança lógica. 
✔C. Níveis de acesso. 
D. Monitoramento e auditoria. 
E. Segurança física. 
Segurança física e lógica são importantes, mas não determinam acesso externo com regras internas da empresa. O monitoramento e a 
auditoria são realizações da TI e não do usuário final. A classificação por tipo de informação trata do mapeamento e da idealização dos 
diferentes personagens que fazem uso dos sistemas. É correto afirmar que para trafegar dados com protocolos padrões, garantindo acesso 
externo seguro, é necessário estabelecer claramente os níveis de acesso. 
 
Com reuniões periódicas, é possível observar o cumprimento das normativas, notificar por 
meio de relatório, e zelar pela proteção e pela distribuição das informações das políticas de 
segurança da informação - PSI. 
Com base nessa afirmação, quem é o responsável máximo do PSI que sempre é requisitado 
em qualquer alteração do documento de política de segurança da informação? 
A. Setor de recursos humanos - RH. 
B. Chefia direta. 
C. Setor de tecnologia da informação - TI. 
D. O próprio colaborador. 
✔E. Comitê de segurança da informação. 
A TI monitora e informa os resultados métricos do PSI. A chefia direta é responsável apenas por si (assim como o próprio colaborador) e pelo 
seu grupo. O RH informa ao setor de TI a respeito das contratações, das alterações (temporários ou permanentes) e dos desligamentos. O 
correto é afirmar que somente um comitê, composto por vários setores da empresa, é capaz de propor alterações no PSI. É essa pluralidade 
que torna capaz a visão sistêmica além da técnica na busca de soluções de proteção dos dados da instituição. 
 
 
 
A Lei n.º 13.709/2018, também conhecida como LGPD, representa um grande marco jurídico 
brasileiro. Essa Lei cria diretrizes de controle, tratamento e utilização dos dados pessoais dos 
cidadãos. Sendo assim, a aplicabilidade dessa lei está restrita a quais tipos de instituições? 
A. Essa Lei pode ser aplicada somente a instituições públicas. 
B. Essa Lei pode ser aplicada somente a instituições privadas. 
✔C. Essa Lei pode ser aplicada em empresas públicas e privadas. 
D. Essa Lei pode ser aplicada somente em bancos digitais e startup. 
E. Essa Lei pode ser aplicada somente para hospitais e empresas privadas. 
A Lei n.º 13.709/2018 é um grande marco legal brasileiro que traz diversos impactos para as instituições privadas e também as públicas, 
justamente por tratar da proteção dos dados pessoais dos indivíduos em qualquer transação comercial, seja por pessoa física ou jurídica, de 
qualquer seguimento de mercado. 
 
 
 
O RGPD entrou em vigor no dia 25 de maio de 2018 e serviu de inspiração para a formulação 
da lei brasileira. A LGPD, quando comparada com a legislação europeia, acaba sendo mais 
resumida e genérica. Que tipo de problemas essa lacuna de informações pode gerar no Brasil? 
A. Essa lacuna acaba gerando objetividade e interpretações comuns, criando segurança jurídica e 
promovendo os demais benefícios para a sociedade, seguindo o propósito estabelecido de boa-fé. 
B. Essa lacuna acaba gerando ruídos de comunicação, porém os artigos são claros e objetivos, o que acaba 
minimizando os demais impactos e ocasionando boas interpretações, que servem de exemplo. 
C. Essa lacuna acaba gerando certa flexibilidade no uso dos dados e, com isso, promover maior cuidado na 
utilização da informação, mesmo os cuidados jurídicos vigentes em lei. 
✔D. Essa lacuna acaba gerando subjetividade e interpretações variadas, criando insegurança jurídica e 
promovendo precedentes confusos que podem representar impactos negativos para a sociedade. 
E. Essa lacuna acaba gerando total segurança jurídica para o cidadão, pois ele terá sempre a informação 
de como o seu dado será utilizado pela empresa. Essa transparência é vital para o uso correto. 
A LGPD é mais enxuta em relação a alguns aspectos quando comparada com o RGPD, criando também espaços para interpretações, o que 
deixa tudo mais subjetivo. Essa lacuna pode gerar insegurança jurídica, justamente pela sua falta de objetividade, permitindo espaço para 
subjetividade em situações possíveis, como, por exemplo, em relação a prazos - enquanto na norma europeia (RGPD) é dito que determinada 
ação deve ser feita em até 72 horas, no caso da LGPD, é informado “prazo razoável”. Porém, o que seria um prazo razoável? Esse tipo de 
situação pode gerar diversos aspectos jurídicos que devem tomar conta dos tribunais em um futuro próximo. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Na área jurídica, é comum haver conceitos e terminologias que, às vezes, causam estranheza e 
dificuldade na interpretação de determinado significado. A LGPD tem uma terminologia não 
muito comum no nosso dia a dia. Sendo assim, qual o nome dado para aquele que realiza a 
coleta do dado ou faz as operações necessárias para o seu melhor entendimento e posterioruso dentro das sintaxes existentes na Lei? 
A. Tratamento dos dados. 
✔B. Agentes de tratamento. 
C. Dados anonimizados. 
D. Encarregado. 
E. Anonimização. 
Agentes de tratamento são o controlador que recepciona os dados pessoais dos titulares de dados por meio do consentimento ou por 
hipóteses de exceção, e o operador que realiza algum tratamento de dados pessoais motivado por contrato ou obrigação legal. Já o 
tratamento dos dados faz referência a toda operação realizada com algum tipo de manuseio de dados pessoais: coleta, produção, recepção, 
classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, edição, eliminação, 
avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Os dados anonimizados são os relativos 
a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião do seu tratamento. 
O conceito de encarregado se refere à pessoa natural, indicada pelo controlado, que atua como canal de comunicação entre o controlador e 
os titulares e a autoridade nacional. Por fim, a anonimização é realizada pelos meios técnicos razoáveis e disponíveis no momento do 
tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
A LGPD se aplica a pessoas físicas e jurídicas, salvo no cenário em que o tratamento dos dados 
é usado para fins exclusivamente particulares e não econômicos ou, então, para fins 
jornalísticos e artísticos e também para a segurança pública e de defesa nacional, conforme o 
artigo 4º, incisos I, II, III e IV. Sendo assim, a aplicabilidade da lei segue alguns critérios. Quais 
seriam essas premissas? 
✔A. De acordo com as premissas da aplicabilidade da LGPD, a transação deve ter ocorrido em 
território nacional e os tratamentos/coletas também devem ter ocorrido no território brasileiro. 
B. De acordo com as premissas da aplicabilidade da LGPD, a transação deve ter ocorrido em qualquer 
parte do mundo e os tratamentos/coletas podem ter ocorrido em outros países. 
C. De acordo com as premissas da aplicabilidade da LGPD, os critérios somente devem ser aplicados em 
cenários não econômicos ou, então, em caso de segurança nacional ou devido a cuidados de segurança. 
D. De acordo com as premissas da aplicabilidade da LGPD, a empresa deve ser estrangeira e usar essa 
informação em outro país, buscando, assim, mapear as necessidades dos seus clientes. 
E. De acordo com as premissas da aplicabilidade da LGPD, as transações precisam ser bem estruturadas, 
buscando, assim, mapear o real uso com base em critérios científicos e gerando resultados. 
A Lei se aplica à situação em que a transação ocorrer em território nacional e tiver por objetivo a oferta ou o fornecimento de bens ou serviços 
ou o tratamento de dados de indivíduos localizados em território nacional e, por fim, em que os dados tiverem sido coletados em território 
nacional. Dessa forma, é possível constatar que a LGPD não está diretamente relacionada à cidadania ou à nacionalidade dos dados do 
cidadão e, muito menos, faz referência ao domicílio do indivíduo titular. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
A LGPD foi fortemente inspirada na regulamentação europeia implementada em maio de 
2018 no continente europeu. Então, é natural que alguns itens de conformidade sejam 
semelhantes ou até mesmo complementares. Um dos artigos diz que o titular pode solicitar, a 
qualquer instante, o tratamento dos seus dados pessoais. Porém, isso não se aplica em qual 
situação? 
A. Só não se aplica quando se trata de órgãos públicos e ONGs. 
B. Só não se aplica quando se trata de órgãos públicos e privados. 
C. Só não se aplica quando se trata de órgãos privados de mercado. 
D. Só não se aplica quando se trata de ONGs e universidades. 
✔E. Só não se aplica quando revelar segredos comerciais e industriais. 
Segundo o artigo 20 da Lei, o responsável pelo tratamento de dados só não será obrigado a fornecer critérios e procedimentos que possam 
revelar segredos comerciais e industriais. Sendo assim, fica claro que a Lei não impacta na estratégia de mercado da empresa; pelo contrário, 
isso gera maior inteligência na determinação do real motivo do uso do dado, e não somente um grande cadastro, com registro que nunca será 
usado. A diferença apenas é a preservação da boa-fé, sendo necessário deixar claro, durante uma transação em duas partes, quais serão as 
consequências dos dados compartilhados para que, estando ciente disso, o titular possa aceitar ou não tal proposta. 
 
 
 
A ISO 27001 é dividida em 11 seções, sendo elas: 
A. introdução, escopo, referência normativa, termos e definições, contexto da organização, liderança, 
planejamento, apoio, operação, avaliação do desempenho, melhoria e anexo B. 
B. introdução, referência normativa, termos e definições, contexto da organização, liderança, 
planejamento, apoio, operação, avaliação do desempenho, melhoria, anexo e anexo A. 
C. introdução, escopo, referência bibliográfica, termos e definições, contexto da organização, liderança, 
planejamento, apoio, operação, avaliação do desempenho, melhoria e anexo A. 
D. introdução, escopo, referência normativa, termos e definições, contexto da organização, líder, 
planejamento, apoio, operação, avaliação do desempenho, melhoria e anexo A. 
✔E. introdução, escopo, referência normativa, termos e definições, contexto da organização, 
liderança, planejamento, apoio, operação, avaliação do desempenho, melhoria e anexo A. 
O padrão para segurança da informação ISO/IEC 27001 especifica os requisitos necessários para estabelecer, implementar, manter e 
melhorar um Sistema de Gerenciamento de Segurança da Informação (SGSI). A ISO 27001 é dividida em: introdução, escopo, referência 
normativa, termos e definições, contexto da organização, liderança, planejamento, apoio, operação, avaliação do desempenho, melhoria e 
anexo A. 
 
Assinale a alternativa que melhor descreve o objetivo da ISO 27001. 
✔A. Disponibilizar um conjunto de requisitos, processos e controles à segurança da informação, 
diminuindo os seus riscos. 
B. Compartilhar um conjunto de requisitos, processos e controles à segurança da informação, diminuindo 
os seus riscos. 
C. Disponibilizar um conjunto objetos, processos e controles à segurança da informação, diminuindo os 
seus riscos. 
D. Disponibilizar um conjunto de requisitos, processos verificando os seus riscos. 
E. Disponibilizar um conjunto de requisitos, processos e falta de controles à segurança da informação. 
O objetivo da ISO 27001 é disponibilizar, à segurança da informação, um conjunto de requisitos, processos e controles, diminuindo os riscos 
das organizações. A norma pode ser implementada em qualquer tipo de empresa, pois provê metodologia para a implementação da gestão 
da segurança da informação em organizações de pequeno, de médio e de grande porte. 
 
 
 
 
A norma 27001 é internacional e publicada pela: 
A. International Start Organization (ISO). 
✔B. International Standardization Organization (ISO). 
C. International Save Organization (ISO). 
D. Internal Start Organization (ISO). 
E. Internal Security Organization (ISO). 
A ISO 27001 é uma norma internacional publicada pela International Standardization Organization (ISO) e descreve como gerenciar a 
segurança da informação em uma empresa. 
 
 
 
 
 
Assinale a alternativa que apresenta um dos benefícios da ISO 27001 para as organizações. 
A. Obtenção de vantagem de Marketing: existem cada vez mais leis, regulamentações e requisitos 
contratuais relacionados à segurança da informação, e a metodologia da ISO 27001 está em 
conformidade com todos esses requisitos. 
B. Conformidade com requisitos legais: o principal objetivo da ISO 27001 é prevenir incidentes de 
segurança. Ao prevenir incidentes, a empresa economizará o valor significativo.C. Melhor organização: se sua organização obtém a certificação, e seus competidores não, ela terá 
vantagem sobre eles na visão de clientes sensíveis à questão de segurança das informações. 
D. Redução de custos: se sua organização obtém a certificação, e seus competidores não, ela terá 
vantagem sobre eles na visão de clientes sensíveis à questão de segurança das informações. 
✔E. Conformidade com requisitos legais: há cada vez mais leis, regulamentações e requisitos 
contratuais relacionados à segurança da informação, e a metodologia da ISO 27001 está em 
conformidade com todos esses requisitos. 
Entre alguns benefícios da ISO 27001 para as organizações, podemos citar: 
Conformidade com requisitos legais: a metodologia da ISO 27001 está em conformidade com todos os requisitos legais, como leis, normativas 
etc. 
Obtenção de vantagem de Marketing: caso a organização obtenha a certificação, ela terá vantagem perante a concorrência. 
Redução de custos: ao prevenir incidentes na área da segurança, a organização economizará um valor significativo. 
Melhor organização: a ISO 27001 encoraja as organizações a escreverem seus principais processos, mesmo aqueles não relacionados à 
segurança, possibilitando a redução da perda de tempo de seus empregados. 
 
 
A certificação para ISO 27001 pode ser retirada de duas formas. Quais são elas? 
✔A. Certificação individual e certificação para organizações. 
B. Certificação própria e certificação para organizações. 
C. Certificação para gestores e certificação para empregados. 
D. Certificação para estudantes e certificação para TI. 
E. Certificação individual e certificação para gestores. 
Existem duas formas de certificação para a ISO 27001: a certificação individual e a certificação para organizações. Para uma empresa obter a 
certificação, ela deve implementar a norma e submeter-se a uma auditoria de certificação realizada por um organismo de certificação. Para 
se obter a certificação individual, basta fazer alguns cursos. 
 
 
Por que os clientes podem vir a exigir, para fechar um negócio, que as organizações sejam 
certificadas ou demonstrem sua vinculação a uma norma ou padrão internacional? 
A. Porque isso assegura que a entrega dos produtos será mais rápida. 
B. Porque os preços dos produtos e serviços serão mais baratos. 
C. Porque isso elimina totalmente as chances de um incidente de segurança da informação. 
✔D. Porque, assim, a empresa demonstra sua preocupação com boas práticas internacionais e com a 
qualidade do que faz. 
E. Porque isso vai assegurar que a empresa cumpre toda a legislação pertinente. 
Porque, sendo certificada ou seguindo as diretrizes de uma norma, a organização demonstra que está preocupada com as boas práticas 
internacionais, o que assegura a qualidade de seus produtos e serviços com relação à gestão, à segurança, à inovação e aos processos. 
 
 
 
 
São exemplos de macroáreas estabelecidas na Norma 17799: 
A. gestão de recursos humanos e controle de passivos. 
✔B. controle de acessos e política de segurança. 
C. gestão de continuidade de incidentes e inconformidade. 
D. gestão de RH e segurança individual. 
E. análise de projetos e análise de sistemas. 
As macroáreas estabelecidas pela Norma 17799 são: política de segurança, segurança organizacional, classificação e controle dos ativos de 
informação, segurança de recursos humanos, segurança física e do ambiente, gerenciamento das operações e comunicações, controle de 
acessos, desenvolvimento e manutenção de sistemas de informação, gestão de continuidade de negócios e conformidade. 
 
 
 
 
 
 
O que é um ativo, segundo a norma ISO 27002? 
✔A. É qualquer coisa para a qual a organização atribua valor e importância, devendo ser protegido. 
B. É qualquer funcionário que não esteja aposentado e ainda exerça suas atividades. 
C. É o patrimônio da empresa, suas máquinas e equipamentos. 
D. É o funcionário que foi admitido e ainda não tirou férias trabalhando para a organização. 
E. É a frota da organização, compreendendo todos os seus tipos de veículos. 
Um ativo é qualquer coisa que tenha importância e valor para a organização e que, por isso, precisa ser protegido de alguma maneira. Os 
ativos devem ser identificados, avaliados e ter regras para o tipo de uso a que se destinam, para que a organização possa manter um 
inventário deles. 
 
 
 
 
Para um profissional, para que serve uma certificação em segurança da informação? 
A. Serve como único fundamento para solicitação de aumento salarial. 
B. Serve para demonstrar que o indivíduo entende somente o básico sobre o assunto da certificação. 
✔C. Serve como forma de valorizar seu currículo, atestando sua vasta experiência em determinado 
assunto. 
D. Serve para informar que o indivíduo não leva muito em consideração o estudo para exercer suas 
atividades. 
E. Serve como atestado de que o indivíduo finalizou sua jornada de estudos durante sua carreira 
profissional. 
Uma certificação serve para valorizar o currículo dos profissionais que a possuem, representando uma espécie de atestado de que o indivíduo 
certificado tem grande conhecimento ou experiência nos assuntos relacionados à certificação obtida. 
 
 
 
 
 
Qual é a certificação mais adequada para quem está começando como profissional de 
segurança da informação? 
A. CSA+. 
B. Auditor Líder ISO 27001. 
C. CISSP. 
D. Security+. 
✔E. ISO 27002. 
A certificação ISO 27002 é a certificação que serve para quem está começando como profissional da área de segurança da informação, pois 
seu foco está nos conceitos básicos de segurança da informação, o que vai auxiliar na compreensão de quais são as informações vulneráreis 
em uma organização e quais são as medidas mais adequadas para protegê-las. 
 
 
De acordo com o conteúdo apresentado em Dica do Professor, a utilização de recursos 
tecnológicos nos negócios tem gerado consideráveis impactos na sociedade e levantado uma 
série de questões éticas relacionadas a crime, privacidade, individualidade, emprego, saúde e 
condições de trabalho. É importante compreender que a tecnologia da informação (TI) pode 
tanto ocasionar resultados benéficos quanto causar efeitos prejudiciais sobre as pessoas e a 
sociedade. O papel dos gestores modernos é justamente o de maximizar os efeitos benéficos 
da tecnologia para as pessoas e empresas, ao mesmo tempo em que os pontos negativos 
desta utilização são reduzidos. Analise as afirmações relacionadas com a ética no uso da TI e 
identifique a CORRETA: 
A. A ética nos negócios foca em como as empresas podem aumentar a sua produtividade, independente 
das formas de trabalho dos seus funcionários. 
B. A teoria das partes interessadas afirma que as empresas possuem responsabilidades éticas com todos 
os membros da sociedade, a qual permite que as corporações existam baseadas em um contrato social. 
C. A teoria do contrato social sustenta que os gerentes têm uma responsabilidade ética para administrar a 
empresa em benefício de todos os seus interessados. 
D. Um comportamento eticamente responsável pode ser observado naquelas empresas que permitem 
que seus funcionários trabalhem até 10 horas diárias ininterruptas. 
✔E. Um dos princípios da ética tecnológica é o da proporcionalidade, que indica que o bem realizado 
pela tecnologia deve exceder o dano ou o risco. 
De acordo com este princípio, além desta regulação entre benefícios e danos, é importante que não exista nenhuma alternativa que realize os 
mesmos benefícios ou comparáveis com menos dano ou risco. 
 
O crime em informática, uma ameaça crescente para a sociedade, é causado por ações 
criminosas ou irresponsáveis de indivíduos que estão tirando vantagem do uso abrangente e 
da vulnerabilidade de computadores, da internet e de outras redes. Ele representa o maior 
desafio da ética de uso das tecnologias da informação, além de constituir uma séria ameaça 
para a segurança dos sistemas empresariais. Em relação aos crimes em informática, analise as 
seguintesafirmações: 
I. A cópia não autorizada de software proprietário não é considerada crime quando o usuário 
realiza apenas duas cópias de determinado software. 
II. Não se configura crime quando um usuário acessa sem autorização determinado hardware, 
mas não o danifica. 
III. Um funcionário não pode compartilhar informações corporativas sem a devida liberação, 
pois estaria cometendo um crime de informática. 
De acordo com as informações apresentadas em Dica do Professor, está CORRETO o que se 
afirma em: 
A. Somente I. 
B. Somente II. 
✔C. Somente III. 
D. Somente I e II. 
E. Somente II e III. 
Esta descrição refere-se à teoria das partes interessadas. 
 
 
 
 
 
 
 
 
 
A estruturação de um ambiente de tecnologia de informação (TI) precisa levar em 
consideração as potenciais ameaças existentes no mundo virtual. Muitos crimes, até então 
cometidos apenas no mundo real, estão migrando para o ambiente virtual e ocasionando 
grandes perdas financeiras para as empresas e pessoas. Alguns países já estão, inclusive, 
adequando a sua legislação para enquadrar os crimes cibernéticos e punir os responsáveis de 
maneira mais adequada e efetiva. 
De acordo com o conteúdo apresentado em Dica do Professor e considerando os diversos 
tipos de crimes em informática, identifique a afirmação CORRETA: 
A. A pirataria de software ocorre quando, por exemplo, um funcionário utiliza, sem autorização, a rede da 
empresa para realizar tarefas particulares. 
B. O furto de propriedade intelectual é caracterizado apenas quando está relacionado com software. 
✔C. O hacking é entendido como o uso obsessivo de computadores ou acesso e uso não autorizados 
de sistemas de computadores de redes. 
D. O roubo cibernético é o uso de computadores e informações de uma organização ou governo, 
nomeadamente pela internet, para causar danos físicos reais ou graves perturbações à infraestrutura. 
E. O uso da internet para lazer pelos funcionários de uma empresa é um dos problemas que mais gera 
perdas financeiras, especialmente em organizações do setor bancário. 
Os hackers podem ser externos ou empregados da empresa, que usam a internet e outras redes para furtar ou danificar dados e programas 
de propriedade de terceiros. 
 
 
 
 
 
 
 
 
 
 
 
 
De acordo com o conteúdo apresentado em Dica do Professor, um dos mais destrutivos 
exemplos de crime cibernético é o ciberterrorismo, que envolve a criação de um vírus de 
computador ou um worm (verme). Vírus é o nome mais popular, mas, tecnicamente, um vírus 
é um código de programa que não pode funcionar sem ser inserido em outro programa, ao 
passo que worm é um programa distinto que pode rodar sem ajuda. 
Analise as afirmações a seguir em relação aos vírus e worms: 
I. A única porta de entrada dos vírus nos sistemas modernos é através de arquivos anexados 
nos e-mails. 
II. Normalmente, um vírus tem a capacidade de se copiar para dentro de arquivos de um 
sistema operacional. 
III. Os programas antivírus conseguem eliminar boa parte dos vírus de computador, mas não 
apresentam a mesma eficácia em relação aos worms. 
Está CORRETO o que se afirma em: 
A. Somente I. 
✔B. Somente II. 
C. Somente III. 
D. Somente I e II. 
E. Somente II e III. 
Esta característica faz com que seja difícil encontrar determinados vírus que se alojam nos sistemas de computadores. 
 
 
 
 
 
 
 
 
 
 
As recentes tecnologias da informação (TI) facilitam o processo de coletar, armazenar, 
recuperar e compartilhar dados e informações com rapidez e facilidade. Esta característica 
gera um efeito benéfico na eficiência dos sistemas de informação. Por outro lado, essa grande 
capacidade da TI em armazenar e recuperar informações pode gerar efeitos negativos no 
direito de privacidade de cada indivíduo. Analise os itens a seguir sobre a privacidade em 
ambientes que utilizam tecnologias da informação e identifique a afirmação que, de acordo 
com a obra Administração de Sistemas de Informação, base teórica para esta Unidade de 
Aprendizagem, está CORRETA: 
A. Em hipótese nenhuma as empresas podem acessar as conversas de e-mail de seus funcionários. 
B. Em uma abordagem técnica, a rede social é o único ambiente que gera problemas de violação da 
privacidade das pessoas. 
✔C. O risco de ter a privacidade violada pode ser reduzido com a utilização de ferramentas de 
criptografia e navegação anônima. 
D. O Spamming é a prática de envio de mensagens críticas, ofensivas e, muitas vezes, vulgares para 
pessoas ou grupos. 
E. Uma boa prática utilizada pelas empresas para aumentar a privacidade dos dados de seus clientes é 
centralizá-los em apenas um servidor de banco de dados. 
A criptografia é uma grande aliada dos sistemas de gerenciamento de segurança da informação, pois permite às pessoas e empresas 
compartilharem dados e informações de maneira mais segura. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Conforme Fontes (2008), devem-se considerar algumas etapas para elaborar política de 
segurança. Assinale a alternativa que apresenta tais fases corretamente. 
A. Inicialização do projeto; desenvolvimento; comunicação e treinamento do produto; definição dos 
processos de manutenção e atualização. 
B. Início do projeto; desenvolvimento; entrega, comunicação e treinamento do produto; definição dos 
processos. 
C. Inicialização do projeto; entrega, comunicação e treinamento do produto; definição dos processos de 
manutenção e atualização. 
✔D. Inicialização do projeto; desenvolvimento; entrega, comunicação e treinamento do produto; 
definição dos processos de manutenção e atualização. 
E. Inicialização do projeto; desenvolvimento; entrega do produto; definição dos processos de manutenção 
e atualização. 
As etapas para elaboração de política de segurança são: 
Inicialização do projeto: descreve-se o projeto, justificando e declarando seu objetivo. 
Desenvolvimento: deve-se realizar levantamento do que existe na organização ou grupo de organizações em relação ao tema trabalhado para 
a definição dos regulamentos. 
Entrega, comunicação e treinamento do produto: é necessário realizar a entrega do projeto formalmente, pois a organização é importante 
para regras que vão legislar internamente. 
Definição dos processos de manutenção e atualização: define-se como acontecerá a manutenção e atualização das políticas e normas de 
segurança da informação. 
 
 
 
 
 
 
 
 
 
 
 
 
 
Em relação à gerência de confiança, é possível citar conceitos como: 
Ações: operações com consequências relacionadas à segurança do sistema. 
Política: regras escritas precisamente que determinam as principais autorizadas e quais ações 
realizar. 
Quais são os outros dois conceitos que faltam? 
✔A. Principais: usuários, processos ou outras entidades que podem realizar ações no sistema; 
credenciais: documentos assinados digitalmente que associam as identidades principais a ações 
permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros principais. 
B. Princípios: usuários, processos ou outras entidades que podem realizar ações no sistema; credenciais: 
documentos assinados digitalmente que associam as identidades principais a ações permitidas, incluindo 
a autoridade de permitir que principais deleguem autoridade a outros principais. 
C. Principais: usuários, processos ou outras entidades que podem realizar ações no sistema; 
acessibilidade: documentos assinados digitalmente que associam as identidades principais a ações 
permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros principais. 
D. Principais: documentos assinados digitalmente que associam as identidades principais a ações 
permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros principais; 
credenciais: usuários, processos ou outras entidades que podem realizar ações no sistema. 
E. Principais: gerentes, processos ou outras entidades que podem realizar ações no sistema; credenciais: 
assinaturavirtual que associa as identidades principais a ações permitidas, incluindo a autoridade de 
permitir que principais deleguem autoridade a outros principais. 
Os outros conceitos relacionados à gerência de confiança são: 
Principais: usuários, processos ou outras entidades que podem realizar ações no sistema; credenciais: documentos assinados digitalmente que 
associam as identidades principais a ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros 
principais. 
 
 
 
 
 
 
 
 
A política de segurança da informação é o pilar da eficácia da segurança da informação. Sobre 
seu conceito, assinale a alternativa correta. 
A. A política de segurança da informação é um manual de procedimentos que descreve como os recursos 
de TI da empresa devem manter privilégios e serem utilizados. Se não existirem regras preestabelecidas, a 
segurança desejada se torna inconsistente e inúmeras vulnerabilidades podem surgir. 
✔B. A política de segurança da informação é basicamente um manual de procedimentos que descreve 
como os recursos de TI da empresa devem ser protegidos e utilizados. Se não existirem regras 
preestabelecidas, a segurança desejada se torna inconsistente e inúmeras vulnerabilidades podem 
surgir. 
C. A política de segurança da informação é apenas um manual de procedimentos que descreve como os 
recursos da empresa devem ser protegidos e utilizados. Se não existirem regras preestabelecidas, a 
segurança desejada se torna inconsistente e inúmeras vulnerabilidades podem surgir. 
D. A política de segurança da informação é basicamente um manual de procedimentos que descreve 
como os recursos de TI da empresa não devem ser protegidos. 
E. A política de segurança da informação é basicamente um manual de procedimentos que descreve como 
os recursos de TI da empresa devem ser protegidos e utilizados. Se existirem regras preestabelecidas, a 
segurança desejada se torna inconsistente e inúmeras vulnerabilidades não irão surgir. 
A política de segurança da informação é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem 
ser protegidos e utilizados. Se não existirem regras preestabelecidas, a segurança desejada se torna inconsistente e inúmeras vulnerabilidades 
podem surgir. 
 
 
 
 
 
 
 
 
 
 
 
 
Um sistema de gerenciamento de confiança consiste em dois componentes principais: 
linguagem de política e verificador de conformidade. Assinale a alternativa que melhor define 
o KeyNote. 
A. O sistema KeyNote é um software que especifica termos de política de segurança da informação. Além 
de implementar esses itens definidos, também indica uma aplicação como sendo programa ou sistema 
que usa KeyNote. 
B. O sistema KeyNote é uma linguagem que especifica termos de TI. Além de implementar os termos 
definidos, também indica uma aplicação como sendo programa ou sistema que usa KeyNote. 
✔C. O sistema KeyNote é uma linguagem que especifica termos de política de segurança da 
informação. Além de implementar os termos definidos, também indica uma aplicação como sendo 
programa ou sistema que usa KeyNote. 
D. O sistema KeyNote é uma linguagem que especifica apenas termos de política de segurança da 
informação. 
E. O sistema KeyNote é um software que implementa os termos de TI e também define uma aplicação 
como sendo programa ou sistema que usa KeyNote. 
O sistema KeyNote é uma linguagem que especifica termos de política de segurança da informação. Além de implementar os termos 
definidos, também indica uma aplicação como sendo programa ou sistema que usa KeyNote. Em suma, o KeyNote interpreta se dada ação 
deve ser permitida ou não de acordo com as políticas fornecidas, e é de responsabilidade da aplicação invocar o KeyNote adequadamente e 
analisar corretamente suas respostas. 
 
 
 
A política de segurança da informação tem como objetivo proteger os pilares da segurança da 
informação. Quais são esses pilares? 
A. Seguridade, integridade e disponibilidade. 
B. Confidencialidade, integralidade e disponibilidade. 
C. Confidencialidade, seguridade e disposição. 
D. Confidencialidade, integridade e disposição de arquivos. 
✔E. Confidencialidade, integridade e disponibilidade. 
Os pilares da segurança da informação são a confidencialidade, a qual garante que a informação é acessível apenas às pessoas autorizadas; a 
integridade, fazendo com que as informações não sofram alterações inesperadas; e a disponibilidade, que torna as informações disponíveis a 
qualquer tempo para acesso. 
 
 
Por que as vulnerabilidades são uma das maiores preocupações da área de segurança da 
informação? 
A. As vulnerabilidades podem impedir que os atacantes consigam invadir as redes de computadores. 
✔B. As vulnerabilidades podem permitir que uma tentativa de ataque seja bem-sucedida, resultando 
em perda da integridade da informação. 
C. As vulnerabilidades podem permitir o acesso de usuários legítimos na rede. 
D. As vulnerabilidades podem permitir que sejam impedidos quaisquer ataques vindos de fora da rede. 
E. As vulnerabilidades podem permitir que uma tentativa de ataque seja identificada e impedida. 
As vulnerabilidades são uma das maiores preocupações da segurança da informação, pois deixam os sistemas e as informações armazenadas 
por eles expostos para atacantes. Elas reduzem a segurança da informação, permitindo que uma tentativa de ataque seja bem-sucedida, o 
que resulta na perda da integridade da informação. 
 
 
 
O ataque de negação de serviço ataca principalmente qual dos atributos da segurança da 
informação? 
✔A. Disponibilidade. 
B. Confiabilidade. 
C. Integridade. 
D. Confidencialidade. 
E. Autenticidade. 
A negação de serviço é um ataque à disponibilidade das informações, pois consiste na impossibilidade de executar funcionalidades básicas e 
na interrupção dos serviços de servidores, causando impedimento na máquina ou sistema atacados. 
 
 
 
 
 
 
Quais são os 2 tipos gerais de ataques de negação de serviço? 
A. Negação de serviço ou denial of service (DoS) e negação de serviço identificada ou identified denial of 
service (IDoS). 
B. Negação de acesso ou denial of access (DoA) e negação de serviço distribuída ou distributed denial of 
service (DDoS). 
C. Negação de serviço ou denial of service (DoS) e negação de serviços vulnerável ou vulnerable denial of 
service (VDoS). 
D. Negação de invasão ou denial of invasion (DoI) e negação de serviço distribuída ou distributed denial of 
service (DDoS). 
✔E. Negação de serviço ou denial of service (DoS) e negação de serviço distribuída ou distributed 
denial of service (DDoS). 
Os ataques de negação de serviço se dividem em negação de serviço ou denial of service (DoS), em que o atacante utiliza uma máquina de 
excelente configuração para atacar a da vítima, e negação de serviço distribuída ou distributed denial of service (DDoS), por meio da qual o 
atacante usa um computador-master e vários computadores-zumbis para atacar a máquina-vítima ao mesmo tempo. 
 
 
 
São formas de ataque ou subdivisões dos ataques de negação de serviço: 
A. Por exclusão, de privacidade e na infraestrutura da rede. 
B. Por aglutinação, de vulnerabilidade e na construção da rede. 
C. Por inundação, de credibilidade e no funcionamento da rede. 
✔D. Por inundação, de vulnerabilidade e na infraestrutura de rede. 
E. Por identificação, de integridade e na infraestrutura da rede. 
Os ataques de negação de serviço podem ser: por inundação, por amplificação, na infraestrutura da rede, de vulnerabilidade e de protocolo. 
 
 
 
 
 
 
Uma das medidas mais comuns para prevenir um ataque de negação de serviço é a utilização 
de servidores proxy. Como ele funciona? 
A. O servidor proxy funciona como barreira para a máquina-vítima, impedindo qualquer tipo de tráfego. 
B. O servidor proxy funciona como porta entre a rede mundial e o computador-vítima, deixando todo tipo 
de tráfego passar. 
✔C. O servidor proxy funcionacomo ponte entre a Internet e a máquina-vítima, filtrando o tráfego 
indesejado e deixando passar o verdadeiro. 
D. O servidor proxy é elemento intermediário entre o computador-atacante e o computador-vítima, 
efetivando a conexão entre eles. 
E. O servidor proxy representa uma máquina conectada na mesma rede do computador-vítima e sofre 
ataques no lugar dela. 
A utilização de servidores proxy consiste na análise das requisições às máquinas da rede, funcionando como ponte entre a Internet e o 
computador-vítima. Esse tipo de servidor filtra o tráfego indesejado, permitindo que o tráfego verdadeiro passe. 
 
 
 
 
São problemas reais de segurança da informação: 
A. disponibilidade de serviços. 
✔B. roubos de informações. 
C. integridade de informações. 
D. confidencialidade. 
E. restrição de acesso. 
Os roubos de informações, juntamente com os ataques de vírus e a indisponibilidade de serviços, são alguns dos problemas reais de segurança 
da informação mais comuns. Disponibilidade de serviços, integridade de informações, confidencialidade e restrição de acesso são objetivos da 
segurança da informação. 
 
 
 
 
Para solucionar problemas relativos à segurança da informação e até mesmo evitá-los, é 
importante: 
✔A. garantir o sigilo das informações e ter controles de acesso bem definidos. 
B. Ddar acesso irrestrito a todos os usuários. 
C. jamais atualizar as ferramentas de segurança, para assegurar que vírus não entrem na rede. 
D. envolver somente a gestão da empresa na política de segurança da informação. 
E. liberar acesso para qualquer tipo de site e permitir que usuários instalem programas nos 
computadores. 
Para evitar problemas de segurança da informação é fundamental garantir o sigilo das informações, ferramentas de segurança atualizadas, 
backup periódico das informações, plano de continuidade de negócio, controles de acesso bem definidos para os usuários que precisam e 
elaborar uma boa política de segurança da informação, que inclua a gestão e todos os demais envolvidos na empresa. 
 
 
 
 
Por que o fator humano é tão importante para a segurança da informação? 
A. Porque as pessoas costumam não errar quando lidam com tecnologia da informação. 
B. Porque as pessoas precisam de treinamento somente uma vez e já se garante que vão fazer tudo 
corretamente. 
C. Porque as pessoas não precisam conhecer a política de segurança da informação. 
D. Porque as pessoas somente utilizam, mas não desenvolvem os sistemas de informação. 
✔E. Porque são as pessoas que comandam as organizações e utilizam os sistemas, portanto são elas 
que garantem o sucesso da segurança na informação. 
O fator humano é importante para a segurança da informação, pois é o que assegura que se tire proveito do que a tecnologia proporciona, 
uma vez que são as pessoas que comandam as organizações, desenvolvem e utilizam os sistemas. Além disso, é normal que as pessoas 
cometam erros na realização das atividades, por isso a importância de mantê-las atualizadas sempre. 
 
 
 
 
O que é engenharia social? 
A. É a conscientização das empresas a respeito de questões ambientais e sociais. 
B. É uma política educacional para conscientizar usuários sobre segurança. 
C. É um método de defesa para ataques de segurança da informação. 
✔D. É um método de ataque à segurança da informação. 
E. É uma área da Engenharia Civil. 
A engenharia social é um método de ataque à segurança da informação, no qual o invasor utiliza a persuasão, abusando da ingenuidade, da 
confiança e da falta de habilidade do usuário, para obter informações que podem ser utilizadas para efetivar acessos não autorizados a 
informações ou a computadores. Ou seja, não está relacionada à conscientização das empresas a respeito de questões ambientais e sociais, 
nem às políticas educacionais, tampouco à Engenharia Civil. 
 
 
 
 
São métodos de testes de segurança da informação: 
A. ação bruta e ataques de vírus. 
✔B. injeção de código e força bruta. 
C. injeção de força e análise de acessos. 
D. conscientização de usuários e política de segurança. 
E. envolvimento da alta gestão e sondagem e mapeamento. 
Os principais métodos de testes de segurança da informação são: sondagem e mapeamento, força bruta, avaliação de servidores, análise do 
tráfego e injeção de código. Não estão nessa lista: ataque de vírus, análise de acessos, conscientização de usuários e política de segurança ou 
envolvimento da alta gestão. 
 
 
 
 
 
 
No ambiente cooperativo: 
A. A empresa isola sua rede interna das demais a fim de evitar problemas de segurança. 
B. A empresa cria uma conexão entre a sua matriz e as suas filiais, mas não se permitem clientes ou 
fornecedores compartilhando a rede. 
C. Algumas organizações se conectam em rede para cada uma atingir um objetivo individual, sem vínculo 
com os objetivos das demais. 
✔D. Várias organizações se conectam em rede e cooperam entre si para atingirem objetivos em 
comum. 
E. Somente as filiais podem se conectar com pessoas externas à empresa, para que as informações fiquem 
preservadas. 
Várias organizações trocam informações por meio da integração entre as suas redes (não apenas filiais). As partes cooperam entre si para 
atingir objetivos em comum, importantes para que qualquer tipo de organização tenha sucesso na sua atividade. Ou seja, a empresa não isola 
sua rede interna das demais, a fim de evitar problemas de segurança. Também não cria uma conexão entre a sua matriz e as suas filiais, mas 
não se permitem clientes ou fornecedores compartilhando a rede. 
 
 
 
Escolha a alternativa que melhor completa a frase. 
Em um ambiente cooperativo, quanto maior for a conectividade entre as partes: 
A. menor será a preocupação com a segurança da informação. 
B. menor será a despesa com investimentos em infraestrutura de rede. 
✔C. maior será a possibilidade de um ataque acontecer, e por isso aumenta a preocupação com a 
segurança da informação. 
D. maior será o lucro da empresa no final de um semestre. 
E. menor será a cooperação entre elas. 
Em um ambiente cooperativo, quanto maior for a conectividade entre as partes, maior será a possibilidade de um ataque acontecer, devido 
ao aumento das oportunidades trazido pela quantidade de partes envolvidas na troca de informações e pela interação entre os diferentes 
ambientes, o que resulta num aumento considerável dos pontos de vulnerabilidade. 
 
 
 
Para que servem as regras de filtragem ou de conexão? 
✔A. Servem para proteger máquinas públicas da organização e locais que separam a organização do 
ambiente externo. 
B. Servem para definir quais pessoas vão poder fazer parte do ambiente cooperativo. 
C. Servem para definir o tipo de conectividade entre os computadores de uma área da empresa. 
D. Servem para estabelecer quantos usuários poderão se conectar ao mesmo tempo na rede interna da 
empresa. 
E. Servem para estipular os tipos de vírus que serão excluídos das máquinas dos usuários em tempo real 
de conexão. 
As regras de filtragem ou de conexão serão necessárias para proteger tanto máquinas públicas da organização quanto locais que separam a 
organização do mundo exterior. Ou seja, não servem para definir quais pessoas vão poder fazer parte do ambiente cooperativo, nem o tipo de 
conectividade entre os computadores de uma área da empresa. Também não servem para estabelecer quantos usuários poderão se conectar 
ao mesmo tempo na rede interna da empresa, tampouco estipular os tipos de vírus que serão excluídos das máquinas dos usuários em tempo 
real de conexão. 
 
 
 
Quem são os insiders? 
A. São pessoas de fora que atacam as informações da organização, conhecidos como engenheiros sociais. 
✔B. São pessoas de dentro da própria organização que representam ameaças maliciosas, como, por 
exemplo, funcionários insatisfeitos. 
C. São clientes que desejam se conectar à rede da empresa para conhecer os preços dos produtos. 
D. São parceiros de negócios que atuam como patrocinadores devido aoalto custo das infraestruturas de 
rede da atualidade. 
E. São os atacantes que se utilizam do phishing para invadir as informações de uma organização. 
São pessoas de dentro da própria organização que configuram ameaças maliciosas, podendo ser funcionários insatisfeitos, ex-funcionários, 
terceirizados ou parceiros de negócios. Ou seja, não são pessoas de fora que atacam as informações da organização, conhecidos como 
engenheiros sociais, nem clientes que desejam se conectar à rede da empresa para conhecer os preços dos produtos. Também não são 
parceiros de negócios que atuam como patrocinadores, devido ao alto custo das infraestruturas de rede da atualidade, tampouco são os 
atacantes que se utilizam do phishing para invadir as informações de uma organização. 
 
 
 
Qual é o objetivo de um firewall cooperativo? 
A. Auxiliar os funcionários a entrar em sites da Internet durante o horário de expediente. 
B. Impedir que máquinas ligadas à Internet possam se conectar à rede interna da organização. 
C. Impedir que os computadores da rede interna da organização se conectem à Internet, evitando 
problemas de segurança. 
D. Instalar os aplicativos antivírus necessários à proteção em todas as máquinas da rede interna da 
organização e das partes envolvidas. 
✔E. Facilitar a administração da segurança da informação, posicionando e integrando as tecnologias 
para que o ambiente e os usuários fiquem protegidos. 
O objetivo de um firewall cooperativo é facilitar a administração da segurança da informação no ambiente cooperativo, posicionando 
corretamente e integrando tecnologias específicas para que o ambiente e os usuários fiquem protegidos. Ou seja, seu objetivo não é auxiliar 
os funcionários a entrar em sites da Internet durante o horário de expediente, nem impedir que máquinas ligadas à Internet possam se 
conectar à rede interna da organização. Também não é impedir que os computadores da rede interna da organização se conectem à Internet, 
evitando problemas de segurança, tampouco instalar os aplicativos antivírus necessários à proteção em todas as máquinas da rede interna da 
organização e das partes envolvidas. 
 
 
 
 
Quais são os pilares da segurança da informação? 
A. Ataque, defesa e proteção. 
✔B. Disponibilidade, confidencialidade, autenticidade e integridade. 
C. Compartilhamento, proteção e confiabilidade. 
D. Disponibilidade, desconfiança e espionagem. 
E. Falhas, tecnologias e defesas. 
Os fundamentos da segurança da informação são: a disponibilidade, que envolve o fato de um sistema de informação ficar disponível pelo 
máximo de tempo possível; a confidencialidade, que é o fato de a informação ser divulgada somente para quem tem autorização de 
acessá-la; a autenticidade, que diz que quanto mais próxima da original for uma informação que chega ao destinatário, mais confiável ela 
será; e a integridade, que é o fato de uma informação chegar ao destinatário inalterada. 
 
 
 
Quais são os tipos de mecanismos de segurança utilizados na segurança da informação? 
A. Controles tecnológicos e computacionais. 
B. Controles de ataque e defesa. 
✔C. Controles físicos e lógicos. 
D. Controles disponíveis e indisponíveis. 
E. Controles de vírus e scan. 
A segurança da informação se utiliza de: controles físicos, que são barreiras materiais que limitam ou impedem o acesso às informações ou à 
infraestrutura onde elas se encontram; e controles lógicos, que são barreiras abstratas que limitam ou impedem o acesso às informações que 
estão em ambientes controlados. 
 
 
 
 
 
O que é phishing? 
A. É um tipo de defesa instalado pelo sistema operacional. 
B. É um tipo de defesa que protege os servidores e já vem instalado com o sistema operacional. 
C. É um tipo de ataque que instala programas através de força bruta nos servidores da rede. 
D. É um tipo de defesa que envia e-mails para os usuários da rede avisando sobre um ataque. 
✔E. É um tipo de ataque que normalmente se configura em forma de mensagem. 
O phishing é um tipo de ataque que normalmente vem em forma de mensagem. Por isso é comum que seja um e-mail com uma mensagem 
parecida com a que seria enviada originalmente de alguma instituição conhecida, na tentativa de fazer o leitor aceitar o que está escrito e 
ainda executar, por vontade própria, a instalação de algum programa, serviço ou arquivo danoso no seu próprio dispositivo. 
 
 
 
 
 
 
O que são ataques do tipo scan? 
✔A. São varreduras feitas nos computadores da rede para analisar seus detalhes e seus serviços 
disponíveis. 
B. São sinônimos dos vírus, programas maliciosos instalados no computador do usuário. 
C. São ataques iniciados quando o usuário clica em um link de um e-mail recebido de remetente 
desconhecido. 
D. São programas que se instalam no computador e fazem uma varredura dos vírus previamente 
instalados. 
E. São ataques que dependem da ingenuidade do usuário para que algum programa mal-intencionado 
seja instalado na máquina. 
O scan envolve varreduras feitas em redes de computadores com o objetivo de identificar as máquinas ativas e os serviços que podem estar 
sendo disponibilizados por elas, visando a analisar detalhes dos computadores que estão ligados na rede. 
 
 
 
 
 
Assinale a alternativa que contém técnicas de defesa para ataques a informações. 
A. Worm, antivírus, phishing. 
B. Engenharia social, scan, phishing. 
C. Criptografia, senha, fraude. 
✔D. Antivírus, biometria, cartão inteligente. 
E. DoS, palavra-chave, fraude. 
Antivírus são programas desenvolvidos para fazer a prevenção, a detecção e a eliminação de vírus encontrados no dispositivo. Biometria é um 
mecanismo utilizado para reconhecer pessoas baseando-se em suas características físicas. Cartão inteligente é um documento eletrônico 
assinado digitalmente por uma autoridade certificadora pertencente à ICP-Brasil. 
 
 
 
 
Uma das formas de segurança trata da proteção dos recursos em relação ao acesso de pessoas 
indevidas, seja de uma aplicação como um todo, seja de parte do serviço. 
Dadas as seguintes afirmações sobre os requisitos de segurança: 
( ) Particularidade é o requisito que diz respeito aos dados que são de uma parte em 
particular. 
( ) Confidencialidade garante que a troca de informação esteja protegida de bisbilhoteiros. 
( ) Integridade garante que a mensagem não será modificada e que chegou íntegra ao 
destinatário. 
( ) Autorização é o processo que decide quando uma entidade com determinada identidade 
pode acessar um recurso específico. 
( ) Isolamento é requisito que separa parte dos requisitos para proteger esses dados de 
acessos indevidos. 
Marque a opção a seguir que representa a resposta correta sobre as afirmações. 
A. V – V – V – F – F. 
B. V – F – V – F – V. 
C. F – V – F – V – F. 
✔D. F – V – V – V – F. 
E. F – V – V – F – F. 
Particularidade e isolamento não são requisitos de segurança. A confidencialidade garante que a troca de informação esteja protegida de 
bisbilhoteiros. A integridade garante que a mensagem não será modificada. Autorização é o processo que decide quando uma entidade com 
determinada identidade pode acessar um recurso específico. 
 
 
 
 
 
 
 
 
O Kerberos é um protocolo de autenticação para ambientes abertos e distribuídos em que os 
usuários acessam serviços disponibilizados de forma segura por servidores distribuídos pela 
rede. 
Marque a opção que contém um servidor centralizado responsável pela autenticação dos 
usuários como componente. 
A. Key Distribution Server. 
B. Key Distribution Ticket. 
✔C. Key Distribution Center. 
D. Ticket Granting Ticket. 
E. Ticket Granting Server. 
O servidor centralizado responsável pela autenticação dos usuários é o servidor de autenticação, ou AS, que é um componente do Key 
Distribution Center, ou KDC. O Ticket Granting Ticket, ou TGT, é a credencial concedida ao usuário pela AS. O Ticket Granting Server, ou TGS, é 
um servidor inserido para evitar que a senha seja extraviada. Key DistributionServer e Key Distribution Ticket não existem. 
 
 
 
 
A tecnologia de criptografia fornece uma base para a proteção de mensagens trocadas pela 
Internet e os dados armazenados nas bases de dados. 
Marque a opção que representa uma das duas categorias de criptografia que exige a utilização 
de uma única chave para criptografar e descriptografar uma mensagem. 
A. Criptografia regular. 
B. Criptografia proporcional. 
C. Criptografia assimétrica. 
D. Criptografia equivalente. 
✔E. Criptografia simétrica. 
A criptografia que exige a utilização da mesma chave tanto para o processo de criptografia de um dado ou mensagem quanto para o processo 
de descriptografia é a criptografia simétrica. O segundo tipo de criptografia é a criptografia assimétrica, em que o processo de criptografia 
acontece por uma chave pública, e o processo de descriptografia, por uma chave privada. As criptografias regular, proporcional e equivalente 
não são categorias de criptografia existentes. 
 
Os webservices apresentam diversos riscos que devem ser mitigados pelos desenvolvedores e 
profissionais de segurança. 
Marque a opção que representa o ataque que compromete o acesso ao serviço por meio da 
sobrecarga da aplicação por solicitações com grandes volumes de dados ou excesso de 
solicitações, causando indisponibilidade do serviço. 
✔A. Ataque de negação de serviço. 
B. Injeção de código SQL. 
C. Ataque de bisbilhoteiros. 
D. Sequestro de sessão. 
E. Tratamento inadequado de erros. 
O ataque que causa sobrecarga da aplicação devido às solicitações com grandes volumes, que pode causar indisponibilidade do serviço, é o 
ataque de negação de serviço. A injeção de SQL acontece quando um usuário mal-intencionado consegue inserir código de manipulação de 
banco de dados em uma mensagem SOAP. O ataque de bisbilhoteiros acontece quando hackers acessam os dados de servidores para capturar 
senhas e dados de cartão de crédito. O sequestro de sessão é o ataque no qual os hackers passam a ter controle do estado de sessão de um 
usuário, com possibilidades de realizar atividades indesejadas. Já o tratamento inadequado dos erros acontece quando um servidor apresenta 
uma mensagem de erro de consulta ao banco para o usuário, de forma que as vulnerabilidades de segurança fiquem expostas para possíveis 
usuários mal-intencionados. 
 
 
O WS-Security, WSS, é uma expansão do SOAP para adicionar segurança em webservices que 
deve ser utilizada junto com outros protocolos específicos. 
Marque a opção que representa o protocolo que possibilita a criação de uma camada de 
criptografia para a comunicação segura entre os computadores de origem e destino. 
A. SAML. 
✔B. SSL. 
C. XACML. 
D. XML. 
E. HTTP. 
O protocolo que possibilita a criação de uma camada de criptografia para a comunicação segura entre as partes é o SSL, acrônimo para 
Secure Socket Layer. O XML é uma linguagem de marcação que pode ser usada como base para os protocolos de segurança. O SAML é um 
protocolo para declaração de informações de autenticação e autorização. O XACML é o protocolo criado para declarar as regras de controle 
de acesso em formato XML. O HTTP é um protocolo de comunicação de sistemas de informação. 
 
 
Os ativos de informação são considerados os meios que a empresa utiliza para armazenar, 
processar e transmitir as informações, incluindo a própria informação. Assinale a alternativa 
que contém apenas ativos de informação. 
A. Documentos de sistemas, ferramentas de sistemas e mobiliário. 
B. Aplicação, computadores, banco de dados, material de escritório (novo e em uso). 
C. Computação, equipamentos de comunicação, nome fantasia e CNPJ da empresa. 
✔D. Banco de dados, documentação de sistemas, planos de continuidade, informações arquivadas etc. 
E. Sistemas operacionais, sala-cofre, acomodações etc. 
Ativos da informação são tudo aquilo que armazena o todo ou parte da informação. Desta forma, apenas equipamentos ou ferramentas que 
contêm informações são considerados ativos. Banco de dados, documentação de sistemas, planos de continuidade, informações arquivadas 
são exemplos de ativos; já materiais de escritório ainda não utilizados, mobiliário, acomodações da empresa não são ativos de informação. 
 
 
A informação deve ser protegida por todo o seu ciclo de vida, pois ela passa por 
transformações durante este período. Assim, informações que eram confidenciais na 
concepção de um projeto, com o término deste, podem ser patenteadas tornando-se, assim, 
informações públicas. Desse modo, o ciclo de vida das informações é dividido em quatro 
etapas. 
Sobre as quatro etapas do ciclo de vida da informação, assinale a alternativa correta. 
✔A. Manuseio, armazenamento, transporte, descarte. 
B. Manuseio, armazenamento, transporte, descarga. 
C. Criação, alteração, manutenção e exibição. 
D. Descarte, manutenção, transporte, armazenamento. 
E. Manuseio, armazenamento, descarte, criação. 
As etapas do ciclo de vida da informação são: manuseio, armazenamento, transporte e descarte. 
Manuseio: trata-se do momento da criação e da manipulação da informação. 
Armazenamento: trata-se do armazenamento da informação. 
Transporte: momento em que a informação é transportada. 
Descarte: ato de descartar a informação quando esta deixa de ser relevante. 
 
 
As empresas classificam as informações conforme suas necessidades e prioridades. Assinale a 
alternativa que contém a classificação correta das informações. 
A. Pública, privada, secreta, interna. 
✔B. Pública, interna, confidencial, secreta. 
C. Externa, interna, pública, confidencial. 
D. Interna, secreta, pública, privada. 
E. Confidencial, pública, secreta, externa. 
A classificação da informação de acordo com necessidades e prioridades é dividida em: pública, interna, confidencial e secreta. 
Pública – informação que pode ser pública sem danos à empresa. 
Interna – informação interna, porém não causa grandes danos ao se tornar pública. 
Confidencial – informação que, caso torne-se pública, causaria grandes danos à empresa. 
Secreta – esta informação é crítica para empresa, deve ser preservada e deve ser investido nela o maior esforço possível para sua segurança. 
 
 
A Segurança de Informação protege a informação de diversos tipos de ameaças para garantir a 
continuidade dos negócios, minimizar os danos e maximizar o retorno de investimentos e as 
oportunidades de negócio. 
A Segurança da Informação é composta por três conceitos básicos. Assinale a alternativa que 
indica corretamente esses 3 conceitos básicos. 
A. Disponibilidade, integração e confidencialidade. 
B. Integridade, disponibilidade e confiança. 
✔C. Confidencialidade, integridade e disponibilidade. 
D. Confiabilidade, disponibilidade e integridade. 
E. Segurança, integridade e confidencialidade. 
Os conceitos básicos da Segurança da Informação são: confidencialidade, integridade e disponibilidade. 
Confidencialidade: diz respeito à segurança de acesso aos dados, de forma que dados sigilosos sejam mantidos em sigilo. 
Integridade: diz respeito à não violação de dados. 
Disponibilidade: diz respeito ao tempo que o sistema e os dados ficam disponíveis. 
 
As informações são classificadas de acordo com o nível de privacidade. Isso é importante pois 
evita que pessoas não autorizadas acessem as informações. De acordo com essa classificação, 
considere as afirmativas a seguir: 
I – A informação, quando acessada de forma indevida, não causa tantos danos. 
II – A informação deve ser tratada com maior esforço possível, por ser vital para empresa, 
levando ao seu fechamento. 
III – A informação, quando acessada de forma indevida, pode acarretar prejuízos para 
empresa, porém não a ponto de causar o seu fechamento. 
Assinale a alternativa que corresponda ao tipo de nível de privacidade: 
✔A. I – Interna, II – Secreta, III – Confidencial 
B. I – Interna, II – Confidencial, III – Secreta. 
C. I – Pública, II – Interna, III – Confidencial. 
D. I – Interna, II – Pública, III