Simulado 8 8

Prévia do material em texto

Considerando que a identificação dos ativos de informação seja uma das fases 
mais importantes do processo de análise de riscos, qual dos ativos a seguir não 
possui uma relação direta com a informação, sobretudo em termos de 
processamento? 
Escolha uma: 
a. Computador portátil (laptop). 
b. Sistema de mensageria instantânea. 
c. Extintor de incêndio. 
d. Dados financeiros. 
Feedback 
Sua resposta está correta. 
Computadores portáteis não somente processam dados e informações, como os 
armazenam. Sistemas de mensagens instantâneas como WhatsApp são utilizados 
para gerar, processar e enviar dados e informações entre dispositivos móveis. 
Dados financeiros são ativos de informação porque contêm a informação 
propriamente dita, e são alvos de mecanismos de proteção. Por outro lado, 
extintores de incêndio não possuem uma relação direta com a informação. Eles 
podem ser utilizados para apagar um incêndio em um centro de dados, por 
exemplo, mas não têm a capacidade de se relacionar diretamente com a 
informação. Portanto, a resposta “Extintor de incêndio” é a correta). 
A resposta correta é: Extintor de incêndio.. 
Questão 2 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Durante o processo de análise de riscos de uma forma geral, uma avaliação das 
vulnerabilidades depende das avaliações: 
Escolha uma: 
a. Do risco e do controle. 
b. Do ativo e do controle. 
c. Das ameaças e do ativo. 
d. Dos controles e dos mecanismos de proteção. 
Feedback 
Sua resposta está correta. 
Quando se avalia as vulnerabilidades em uma análise de riscos, necessariamente 
as ameaças devem constar da lista de itens avaliados porque é o que mantém 
correlação direta com a possibilidade de haver algum impacto em decorrência de 
uma ameaça. Além disso, o item ativo deve fazer parte da lista porque encontram-
se vulnerabilidades em ativos de informação. O quesito controle não se aplica 
nesse caso porque avalia-se ameaças e vulnerabilidades para se criar controles de 
segurança, e não o contrário (resposta “Das ameaças e do ativo” é a correta). 
A resposta correta é: Das ameaças e do ativo.. 
Questão 3 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Levando em consideração os elementos que compõe uma possível comissão de 
elaboração da política de segurança, um dos elementos abaixo NÃO faz parte 
dessa lista: 
Escolha uma: 
a. Membros de gestão. 
b. Especialistas. 
c. Representantes legais. 
d. Agência Nacional de Telecomunicações. 
Feedback 
Sua resposta está correta. 
De acordo com o material didático, página 2, A Agência Nacional de 
Telecomunicações não faz parte da lista de elementos que podem compor uma 
comissão de elaboração de política. De fato, internamente a uma organização, 
entidades externas não necessariamente precisam fazer parte dessa mesma 
comissão. 
A resposta correta é: Agência Nacional de Telecomunicações.. 
Questão 4 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Das definições possíveis sobre o que é uma política de segurança, assinale a 
opção que melhor corresponde ao conjunto de procedimentos e/ou fase que deve 
vir antes da definição da política de segurança propriamente dita: 
Escolha uma: 
a. Análise de riscos. 
b. Plano de continuidade. 
c. Backup de banco de dados. 
d. Reinicialização de senhas. 
Feedback 
Sua resposta está correta. 
Dos procedimentos e fases citados nesta questão, o plano de continuidade, o 
backup de dados e a reinicialização de senhas normalmente são procedimentos 
e/ou fases que já estão englobadas na própria política de segurança. A análise de 
riscos é a fase que deve vir antes da definição porque ela é que vai definir e 
mensurar qualitativa e quantitativamente os ativos de informação, incluindo 
vulnerabilidades e ameaças. 
A resposta correta é: Análise de riscos.. 
Questão 5 
Incorreto 
Atingiu 0,00 de 1,00 
Marcar questão 
Texto da questão 
Diferentemente do perigo, em uma política de segurança lida-se com o termo risco. 
Das situações, marque a alternativa que melhor corresponde à definição de risco: 
Escolha uma: 
a. Vulnerabilidade de acesso remoto. 
b. Perda de dados. 
c. Exploit Kit. 
d. Não aplicar um "patch" de segurança. 
Feedback 
Sua resposta está incorreta. 
Para considerar corretamente cada item, basta efetuar a pergunta: "corre risco de 
quê?". A alternativa que melhor se encaixa nessa pergunta é a alternativa “perda 
de dados”, já que a perda de dados não é só uma consequência, como pode ser 
quantificada em termos de probabilidade. Um exploit, uma vulnerabilidade e a não 
aplicação de um "patch" estão mais para ameaças que podem acarretar uma 
perda, vazamento ou até mesmo destruição de dados. 
A resposta correta é: Perda de dados.. 
Questão 6 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Pode ser utilizado tanto para minimizar riscos como para direcionar as reações de 
uma forma geral em casos de probabilidade alta de ocorrência de uma ameaça: 
Escolha uma: 
a. Criptografia. 
b. Plano de Continuidade de Negócios (PCN). 
c. Firewall. 
d. IDS. 
Feedback 
Sua resposta está correta. 
Exceto a resposta “Plano de continuidade de negócios (PCN)”, que é a resposta 
correta, os demais itens são considerados dispositivos ou mecanismos de 
segurança da informação. Um PCN pode ser utilizado para minimizar os riscos 
porque contém diretrizes gerais de atuação pré e pós-evento. 
A resposta correta é: Plano de Continuidade de Negócios (PCN).. 
Questão 7 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
De forma geral, uma vulnerabilidade de segurança é: 
Escolha uma: 
a. Uma falha de segurança que pode ser explorada. 
b. O ato de explorar uma falha. 
c. Um ativo de informação. 
d. Efeito da incerteza do risco. 
Feedback 
Sua resposta está correta. 
Em linhas gerais e de acordo com a RFC 2828, uma vulnerabilidade é uma falha 
geral no projeto de um sistema computacional que pode então violar uma política 
de segurança ativa. Os demais itens não possuem relação com a definição 
clássica de uma vulnerabilidade. 
A resposta correta é: Uma falha de segurança que pode ser explorada.. 
Questão 8 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Ao contrário de uma vulnerabilidade, uma ameaça é: 
Escolha uma: 
a. O potencial, o perigo possível para a violação de uma vulnerabilidade. 
b. É o resultado final do cálculo do risco. 
c. Uma falha de segurança computacional. 
d. Um travamento de tela azul no Windows. 
Feedback 
Sua resposta está correta. 
Ainda de acordo com a RFC 2828, uma ameaça deve representar um perigo real 
de exploração de uma vulnerabilidade existente. Os demais itens não se encaixam 
na definição de uma ameaça. 
A resposta correta é: O potencial, o perigo possível para a violação de uma 
vulnerabilidade.. 
Questão 9 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Em relação à condução de uma análise de riscos, um dos itens a seguir não faz 
parte do escopo de atuação: 
Escolha uma: 
a. Definir escopo de abrangência da política. 
b. Definir valores de importância para cada ativo. 
c. Determinar o impacto das vulnerabilidades encontradas. 
d. Criar mecanismos de backup de dados. 
Feedback 
Sua resposta está correta. 
Criar mecanismos de backup de dados, ou ainda assim defini-los, faz parte da 
política de segurança propriamente dita, e não da fase de análise de riscos. Os 
demais itens – de acordo com o material didático oficial – são itens que fazem 
parte do escopo de uma análise de riscos. 
A resposta correta é: Criar mecanismos de backup de dados.. 
Questão 10 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Quando da identificação de ativos importantes – ainda na fase da análise de riscos 
– um dos itens abaixo não necessariamente se encaixa em um ativo de 
informação: 
Escolha uma: 
a. Estação de trabalho. 
b. Notebook. 
c. Disco rígido. 
d. Tomada elétrica em uma parede.Feedback 
Sua resposta está correta. 
Por mais que uma tomada de alimentação elétrica possa ser utilizada para prover 
energia elétrica, a tomada por si só não apresenta nenhuma relação direta com a 
informação. Se a tomada específica deixar de existir, a informação não será 
afetada. Já uma estação, um notebook ou um disco rígido podem apresentar 
problemas e afetar a disponibilidade das informações ou do usuário ou da 
organização, mesmo que minimamente. 
A resposta correta é: Tomada elétrica em uma parede.. 
Questão 11 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Qual dos ativos a seguir pode ser considerado apenas como hardware? 
Escolha uma: 
a. Roteador. 
b. Manual de programa. 
c. Código-fonte. 
d. Programas utilitários. 
Feedback 
Sua resposta está correta. 
De todos os itens listados acima, apenas "roteador" se encaixa na categoria de 
"hardware", que são dispositivos físicos utilizados para o processamento de algum 
tipo de informação. Os demais itens são parte de software e documentação. 
A resposta correta é: Roteador.. 
Questão 12 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Dos diversos tipos de classificações que um dado pode assumir, qual dos tipos a 
seguir melhor se relaciona diretamente com extratos bancários? 
Escolha uma: 
a. Administrativo. 
b. Pesquisa. 
c. Financeiro. 
d. Clientes. 
Feedback 
Sua resposta está correta. 
Dados financeiros são todos aqueles relacionados com dados bancários, cartões 
de crédito, transações bancárias, dados bancários primários como conta e 
agência, além de identificadores financeiros. Dados de pesquisa e administrativos 
não se encaixam ou se relacionam com extratos bancários. Dados de clientes 
podem se relacionar com extratos bancários dentro de um contexto bem definido, 
mas a questão deixou claro qual deles "melhor" se relaciona. 
A resposta correta é: Financeiro.. 
Questão 13 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Na valoração simples utilizada para mensurar ativos de informação, um dos 
valores a seguir não pode ser representado seguindo essa mesma diretriz: 
Escolha uma: 
a. Baixo. 
b. Médio. 
c. Alto. 
d. Crítico. 
Feedback 
Sua resposta está correta. 
O termo crítico é essencialmente utilizado em tabelas de criticidade dos ativos, e 
não em valorações. Um ativo pode ou não ter valor em termos financeiros. Um 
ativo que tem valoração alta, por exemplo, é quantitativamente importante porque 
pode se traduzir em uma perda financeira alta caso haja algum impacto. 
A resposta correta é: Crítico.. 
Questão 14 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
A criticidade de um ativo está ligada normalmente à probabilidade de um impacto 
alto para a organização. Qual dos valores críticos a seguir poderia ser atribuído por 
exemplo a uma tabela de salários de empregados em um banco de dados 
privado? 
Escolha uma: 
a. Criticidade alta. 
b. Criticidade média. 
c. Criticidade baixa. 
d. Sem criticidade, mas de alto impacto para a organização em caso de ameaça 
real. 
Feedback 
Sua resposta está correta. 
Quaisquer dados financeiros são de criticidade alta, não só pela criticidade em si, 
mas pela importância da informação que ela representa. Em alguns casos, o sigilo 
financeiro é resguardado por lei (assim como fiscal). Sabe-se, no entanto, que boa 
parte dos ganhos mensais de servidores públicos hoje são informações públicas. 
A resposta correta é: Criticidade alta.. 
Questão 15 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Acerca dos conceitos de ameaças de todo tipo, assinale a única opção que 
corresponde a uma ameaça ligada ao fator humano: 
Escolha uma: 
a. Raios. 
b. Curto-circuito. 
c. Engenharia social. 
d. DDoS. 
Feedback 
Sua resposta está correta. 
A engenharia social é um tipo abrangente de ameaças que corresponde a 
tentativas de phishing, spear phishing, BEC Scam, entre outros tipos. Ela 
normalmente se aproveita da falta de preparo e da curiosidade inata das pessoas 
em saber o que está se passando. Raios, curto-circuitos e ataques DDoS são de 
natureza física ou tecnológica. 
A resposta correta é: Engenharia social.. 
Questão 16 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Quando se fala em vulnerabilidades considerando o fator humano, a falta de 
preparo para lidar com as ameaças recentes é um dos mais importantes tópicos 
em qualquer política de segurança corporativa. Nesse sentido, marque a 
alternativa que contenha ao menos um tipo de ataque em que os usuários 
precisam ser ludibriados a clicarem em arquivos e links suspeitos: 
Escolha uma: 
a. Phishing. 
b. SQL Injection. 
c. Buffer Overflow. 
d. Remote Code Execution (RCE). 
Feedback 
Sua resposta está correta. 
O único tipo de ameaça/ataque em que os usuários precisam ter uma interação 
direta e voluntária é o ataque de phishing. Os demais ataques não 
necessariamente precisam de uma interação direta do usuário porque o atacante 
tem a possibilidade de executá-los remotamente sem a intervenção humana. 
A resposta correta é: Phishing.. 
Questão 17 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
É um tipo de ameaça onde um recurso computacional, como por exemplo, um link 
de internet, sofre interrupção e o acesso à internet fica indisponível: 
Escolha uma: 
a. DDoS. 
b. Phishing. 
c. Deface. 
d. XSS. 
Feedback 
Sua resposta está correta. 
Ataques de negação de serviço distribuídos estão entre uma das ameaças mais 
efetivas em termos de indisponibilidade de recursos computacionais. Ataques 
DDoS ainda são uma grande ameaça para quem depende exclusivamente da 
internet para prover serviços de alguma forma. Os demais exemplos não se 
encaixam na descrição de interrupção de serviços, sobretudo no exemplo de link 
de internet. 
A resposta correta é: DDoS.. 
Questão 18 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Dos métodos a seguir, apenas um deles pode ser utilizado em uma análise de 
riscos quando se visa identificar vulnerabilidades no ambiente computacional: 
Escolha uma: 
a. Teste de invasão. 
b. Phishing. 
c. Firewall. 
d. Buffer Overflow. 
Feedback 
Sua resposta está correta. 
Testes de invasão são medidas efetivas para se descobrir e verificar o nível de 
aplicabilidade da exploração de vulnerabilidades. Dos vários tipos de teste de 
invasão, um deles pode ser utilizado inclusive para explorar vulnerabilidades como 
se fosse um ataque real, mostrando com clareza o nível de comprometimento que 
o atacante pode acarretar se o mesmo ataque fosse executado do ponto de vista 
"real". 
A resposta correta é: Teste de invasão.. 
Questão 19 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
A política de segurança de uma empresa pode ser também considerada como um 
conjunto de regras que visa controlar a utilização dos recursos de informática da 
organização/empresa. Em relação a essa temática, assinale a alternativa correta. 
Escolha uma: 
a. Orientações quanto ao acesso aos recursos e a utilização de senhas não 
precisam fazer parte dessa política de segurança. 
b. As obrigações dos usuários quanto à utilização dos recursos de tecnologia da 
informação (TI) não precisam fazer parte da política de informação de uma 
empresa. 
c. Não há necessidade de negar ou restringir o acesso dos funcionários de uma 
empresa aos diversos sistemas ou serviços de TI, pois eles são considerados 
confiáveis. 
d. É fundamental que processos de auditoria de segurança sejam definidos nessa 
política, já que auditoria é um passo importante para verificar se a política está 
sendo seguida ou não. 
Feedback 
Sua resposta está correta. 
De fato, processos de auditoria de segurança fazem parte de uma política de 
segurança. Garantir que a política de segurança esteja sendo seguida é de vital 
importância, porque sem essa garantia, de nada adianta implantar uma política 
sem saberos resultados dela. 
A resposta correta é: É fundamental que processos de auditoria de segurança 
sejam definidos nessa política, já que auditoria é um passo importante para 
verificar se a política está sendo seguida ou não.. 
Questão 20 
Incorreto 
Atingiu 0,00 de 1,00 
Marcar questão 
Texto da questão 
A política de segurança da informação define os direitos e as responsabilidades de 
cada um em relação à segurança dos recursos computacionais que utiliza. É um 
importante mecanismo de segurança, tanto para as organizações como para os 
usuários. São conceitos, princípios e/ou cuidados coerentes com critérios 
adequados de segurança da informação: 
Escolha uma: 
a. É importante que atitudes abusivas ou incidentes de segurança sejam 
notificados. Para encontrar os responsáveis por uma rede, deve-se consultar 
servidores WHOIS, no qual são mantidas as bases de dados sobre os 
responsáveis por cada bloco de números IP existentes. 
b. Algumas ações que geralmente são consideradas de uso abusivo (não 
aceitável) incluem: compartilhar senhas; manter sigilo sobre informações 
confidenciais; usar programas contra spam e códigos maliciosos; enviar 
mensagens com o objetivo de caluniar ou ameaçar alguém. 
c. Para ser considerado um incidente de segurança, o evento adverso deve estar 
confirmado e ser relacionado à rede de computadores. 
d. Somente pessoas autorizadas devem ser notificadas quando incidentes de 
segurança acontecem. Essas pessoas devem ser ligadas à organização e são: os 
responsáveis pelo computador que originou o incidente, os responsáveis pela rede 
que originou o incidente e uma pessoa da diretoria ou presidência que responde 
juridicamente pela organização. 
Feedback 
Sua resposta está incorreta. 
É uma boa prática reportar incidentes de segurança e utilizar servidores whois 
como forma de identificar ao menos a origem do incidente. 
Usar programas contra códigos maliciosos e manter sigilo sobre informações 
sigilosas não são ações abusivas, e sim necessárias. 
Um incidente de segurança não precisa estar confirmado. 
A notificação de incidentes normalmente não precisa ir para a diretoria ou 
presidência da organização. 
A resposta correta é: É importante que atitudes abusivas ou incidentes de 
segurança sejam notificados. Para encontrar os responsáveis por uma rede, deve-
se consultar servidores WHOIS, no qual são mantidas as bases de dados sobre os 
responsáveis por cada bloco de números IP existentes..