Baixe o app para aproveitar ainda mais
Prévia do material em texto
1ª Questão De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e A afirmação é verdadeira. A afirmação é somente verdadeira para as empresas privadas. A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. A afirmação é falsa. A afirmação é somente falsa para as empresas privadas. 2ª Questão O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informa trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas? Apoio ao uso da Internet e do ambient Apoio às Estratégias para vantagem competitiva Apoio à tomada de decisão empresarial Apoio às Operações Apoio aos Processos 3ª Questão No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a justificativa de defender a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado hospedagem, bloqueado recursos financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo vazamento de mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a vulnerabilidade neste ataque? Vulnerabilidade de Comunicação Vulnerabilidade Física Vulnerabilidade Mídia Vulnerabilidade de Software Vulnerabilidade Natural 4ª Questão As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classificadas como: Insconsequentes Destrutivas Tecnológicas Globalizadas Voluntárias De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de segurança¿, podemos dizer que: A afirmação é verdadeira. A afirmação é somente verdadeira para as empresas privadas. A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. A afirmação é falsa. somente falsa para as empresas privadas. O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas? Apoio ao uso da Internet e do ambiente wireless Apoio às Estratégias para vantagem competitiva Apoio à tomada de decisão empresarial No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a nder a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado hospedagem, bloqueado recursos ado doações para o WikiLeaks, o serviço responsável pelo vazamento de mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a vulnerabilidade neste ataque? Vulnerabilidade de Comunicação Vulnerabilidade Física Mídia Vulnerabilidade de Software Vulnerabilidade Natural As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classificadas como: De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a ção apóia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a nder a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado hospedagem, bloqueado recursos ado doações para o WikiLeaks, o serviço responsável pelo vazamento de mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, 5ª Questão A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de: Buffer Overflow Smurf Fraggle Fragmentação de pacotes IP SQL injection 6ª Questão Qual das opções abaixo descreve melhor o conceito de "Risco" quando relacionado com a Segurança da Informação: Probabilidade de um incidente ocorrer mais vezes. Probabilidade de um ativo explorar uma vulnerabilidade Probabilidade de um ativo explorar uma ameaça. Probabilidade de uma ameaça explorar uma vulnerabilidade Probabilidade de uma ameaça explorar um incidente. 7ª Questão Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI 8ª Questão Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e a internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados. Adware. Mailing. Firewall. Antivírus. Spyware. 9ª Questão Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? Interna e Oculta Secreta e Externa Conhecida e Externa Secreta e Oculta Interna e Externa 10ª Questão O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual conceito? Ameaça. Impacto. Vulnerabilidade. Risco. Valor. 11ª Questão Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aosconcorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança? Secreta. Interna. Pública. Irrestrito. Confidencial. 12ª Questão Qual opção abaixo representa a descrição do Passo “Levantamento das Informações”dentre aqueles que são realizados para um ataque de segurança ? A atacante tenta manter seu próprio domínio sobre o sistema O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência. O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação". O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema. 13ª Questão Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infra-estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de alarmes. Neste caso que tipo de barreira você está implementando? Detectar Desencorajar Deter Discriminar Dificultar 14ª Questão Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? Secreto Fraco Ativo Passivo Forte 15ª Questão Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. 16ª Questão Ao analisarmos a afirmativa: “Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça”. Podemos dizer que é: falsa, pois os impactos são sempre iguais para ameaças diferentes. verdadeira . falsa, pois não depende do ativo afetado. falsa, pois não devemos considerar que diferentes ameaças existem . parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. 17ª Questão A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança: Controle de Acesso. Segurança Física e do Ambiente. Gerenciamento das Operações e Comunicações. Gestão de Incidentes de Segurança da Informação. Gestão da Continuidade do Negócio. 18ª Questão Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: Medidas Perceptivas Métodos Quantitativos Medidas Corretivas e Reativas Medidas Preventivas Métodos Detectivos 19ª Questão Como não existe uma única causa para o surgimento das vulnerabilidades, diferentes tipos de vulnerabilidade podem estar presente em diversos ambientes computacionais. Neste sentido qual das opções abaixo não representa um exemplo de tipo de vulnerabilidade? Mídia. Hardware. Vírus. Natural. Humana. 20ª Questão Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador pode ser descrito como sendo um: Active-x Java Script Adware Spyware Worm 21ª Questão Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das opções abaixo não representa um exemplo de Ativo Intangível: Sistema de Informação. Marca de um Produto. Imagem da Empresa no Mercado. Qualidade do Serviço. Confiabilidade de um Banco. 22ª Questão Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. 23ª Questão Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão? Source Routing Shrink wrap code DDos SQL Injection Phishing Scan 24ª Questão Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da Informação: Probabilidade de uma ameaça explorar um incidente. Probabilidade de um ativo explorar uma vulnerabilidade. Probabilidade de uma ameaça explorar uma vulnerabilidade Probabilidade de um ativo explorar uma ameaça. Probabilidade de um incidente ocorrer mais vezes. 25ª Questão No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um Problema de Segurança: Uma tempestade. Uma inundação. A perda de qualquer aspecto de segurança importante para a organização. Restrição Financeira. Uma Operação Incorreta ou Erro do usuário. 26ª Questão Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ? Manutenção, implementação do programa e maturação Planejamento, estudo e implementação do programa Planejamento, maturação e desenvolvimento Manutenção, desenvolvimento e implementação do programa Planejamento, desenvolvimento e implementação do programa 27ª Questão Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias: Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. Erros propositais de instalação ou de configuração possibilitando acessos indevidos. Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc. Danos quase sempre internos - são uma das maiores ameaças ao ambiente,podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões. 28ª Questão O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de "Informação"? Por si só não conduz a uma compreensão de determinado fato ou situação; Pode habilitar a empresa a alcançar seus objetivos estratégicos; Possui valor e deve ser protegida; É a matéria-prima para o processo administrativo da tomada de decisão; É dado trabalhado, que permite ao executivo tomar decisões; 29ª Questão Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade¿. Esta afirmação é: falsa, pois a informação não deve ser avaliada pela sua disponibilidade. verdadeira desde que seja considerada que todas as informações são publicas. falsa, pois não existe alteração de nível de segurança de informação. verdadeira, pois a classificação da informação pode ser sempre reavaliada. verdadeira se considerarmos que o nível não deve ser mudado. 30ª Questão Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 31ª Questão João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? Ip Spoofing Port Scanning Fraggle Fragmentação de pacotes IP SYN Flooding 32ª Questão Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter": Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. 33ª Questão Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 34ª Questão Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? na Zona Desmilitarizada (DMZ) protegida na Zona Desmilitarizada (DMZ) suja ligado diretamente no roteador de borda na rede interna da organização em uma subrede interna protegida por um proxy 35ª Questão Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como a tecnologia da informação tem apóiado as operações das empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de ¿Informação¿ ? É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. É fundamental proteger o conhecimento gerado. Pode conter aspectos estratégicos para a Organização que o gerou. A informação é vital para o processo de tomada de decisão de qualquer corporação. Deve ser disponibilizada sempre que solicitada. 36ª Questão Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança? Pública. Confidencial. Irrestrito. Secreta. Interna. 37ª Questão Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? Vulnerabilidade de Software Vulnerabilidade Natural Vulnerabilidade Mídia Vulnerabilidade de Comunicação Vulnerabilidade Física 38ª Questão Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da Informação: Tudo aquilo que tem origem para causar algum tipo de erro nos ativos Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos 39ª Questão Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais: Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais Classificação da informação, requisitos de negócio e análise de risco Análise de vulnerabilidades, requisitos legais e classificação da informação Análise de risco, análise do impacto de negócio (BIA), classificação da informação Requisitos de negócio, Análise de risco, Requisitos legais 40ª Questão Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? ligado diretamente no roteador de borda em uma subrede externa protegida por um proxy na Zona Demilitarizada (DMZ) protegida na Zona Demilitarizada (DMZ) suja na rede interna da organização 41ª Questão Qual das opções abaixo não apresentauma das quatro categorias conhecidas de Ataques? Aceitação de Serviço Disfarce Modificação de mensagem Negação de Serviço Repetição 42ª Questão Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? Alteração ou destruição de arquivos; Monitoramento de URLs acessadas enquanto o usuário navega na Internet Captura de senhas bancárias e números de cartões de crédito; Captura de outras senhas usadas em sites de comércio eletrônico; Alteração da página inicial apresentada no browser do usuário; 43ª Questão Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque? Levantamento das Informações Obtenção de Acesso Camuflagem das Evidências Divulgação do Ataque Exploração das Informações 44ª Questão A NBR ISO/IEC 27002 orienta que a organização assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: Gerenciamento das Operações e Comunicações. Segurança em Recursos Humanos. Segurança Física e do Ambiente. Segurança dos Ativos. Controle de Acesso. 44ª Questão Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da Informação: Probabilidade de uma ameaça explorar um incidente. Probabilidade de uma ameaça explorar uma vulnerabilidade Probabilidade de um incidente ocorrer mais vezes. Probabilidade de um ativo explorar uma ameaça. Probabilidade de um ativo explorar uma vulnerabilidade. 45ª Questão A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Prevenção e Preventivas. Corretivas e Preventivas. Corrigidas e Preventivas. Corretivas e Corrigidas. Corretivas e Correção. 46ª Questão Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no estudo e implementação de um processo de gestão de segurança em uma organização? Ameaça. insegurança Risco. Vulnerabilidade. Impacto . 47ª Questão João configurou nas máquinas servidoras da empresa que trabalha o serviço de Log de forma a registrar as operações realizadas pelos usuários e serviços do sistema. Neste caso, João está implementando uma propriedade de segurança relacionada à(o): Não-Repúdio; Integridade; Disponibilidade; Confidencialidade; Auditoria; 48ª Questão Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma empresa. Neste contexto qual o objetivo fundamental da ¿Segurança da Informação¿? Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informaçõ es. Visa à proteção dos equipamentos de uma empresa que contêm informações. Visam à proteção alguns poucos ativos de uma empresa que contêm informações. Visa à proteção de todos os ativos de uma empresa que contêm informações. Visa principalmente à proteção dos ativos patrimoniais que contêm informações. 48ª Questão Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste caso houve uma falha na segurança da informação relacionada à: Integridade; Autenticidade; Auditoria; Não-Repúdio; Confidencialidade; 49ª Questão O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? Problema Vulnerabilidade Risco Dependência Ameaça 50ª Questão Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. F aça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma pág ina clonada ou a um arquivo malicioso. ( ) Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: 5, 2, 4, 3, 1. 3, 2, 4, 5, 1. 3, 1, 4, 5, 2. 3, 1, 5, 2, 4. 5,1,4,3,2. 51ª Questão Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qu al das opções abaixo Não representa um destes tipos de ataques? Ataque aos Sistemas Operacionais Ataque para Obtenção de Informações Ataque à Aplicação Ataque de Configuração mal feita Ataques Genéricos 52ª Questão Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra u m determinado risco está muito além das possibilidades da organização e portanto não vale a pena tratá-lo. Neste caso você: Aceita o risco Trata o risco a qualquer custo Comunica o risco Ignora o risco Rejeita o risco 53ª Questão A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das ati vidades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança? Gerenciamento das Operações e Comunicações Controle de Acesso Gestão da Continuidade do Negócio Gestão de Incidentes de Segurança da Informação Segurança Física e do Ambiente. 54ª Questão O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigató rios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"? Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa. Para o estabelecimento do programa de GCN é necessário entender a organização par a definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. O desenvolvimento e implementação de uma resposta de GCN resulta na criação de u ma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. A organização precisa verificar se suas estratégicas e planos estão completos, atualizad os e precisos. O GCN deverá ser testado, mantido,analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. A determinação da estratégia de continuidade de negócio permite que uma resposta a propriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. 55ª Questão Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 (três) aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança da Informação". Quais elementos compõem a tríade da segurança da informação? Privacidade, Governabilidade e Confidencialidade Confiabilidade, Integridade e Disponibilidade Autenticidade, Legalidade e Privacidade Disponibilidade, Privacidade e Segurabilidade Integridade, Legalidade e Confiabilidade 56ª Questão Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como a tecnologia da informação tem apóiado as operações das empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de ¿Informação¿ ? É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. É fundamental proteger o conhecimento gerado. A informação é vital para o processo de tomada de decisão de qualquer corporação. Pode conter aspectos estratégicos para a Organização que o gerou. Deve ser disponibilizada sempre que solicitada. 57ª Questão A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para: A gestão da área comercial. A gestão de orçamento. A gestão do ciclo da informação interna. A gestão dos usuários. A gestão dos negócios da organização 58ª Questão Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Privacidade; Integridade; Disponibilidade; Não-repúdio; Confidencialidade; 59ª Questão Observe a figura acima e complete corretamente a legenda dos desenhos: Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos 60ª Questão Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos definir o que são vulnerabilidades: Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computadores, incendiários. Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações. 61ª Questão Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias: Erros propositais de instalação ou de configuração possibilitando acessos indevidos. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões. Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc. Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc. 62ª Questão Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de comércio eletrônico. Exploits. Hijackers. Phishing. Trojans. Wabbit. 63ª Questão Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? Passivo Ativo Fraco Secreto Forte 64ª Questão João e Pedro são administrador de sistemas de uma importante empresa e estão instalando uma nova versão do sistema operacional Windows para máquinas servidoras. Durante a instalação Pedro percebeu que existem uma série de exemplos de códigos já prontos para serem executados, facilitando assim o trabalho de administração do sistema. Qual o tipo de ataque que pode acontecer nesta situação? Phishing Scan Fraggle Dumpster Diving ou Trashing Shrink Wrap Code Smurf 65ª Questão O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opçõ es abaixo nãopode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiro s; Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; 66ª Questão Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de v alor . Qual das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao seguinte conceito: "Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas"? Valor de restrição. Valor de troca. Valor de uso. Valor de propriedade. Valor de negócio. 67ª Questão As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administradorpara o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware: Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, fa lta de energia). Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de f abricação. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planeja das. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de cripto grafia nas comunicações. 68ª Questão As ameaças são agentes ou condições que causam incidentes que comprometem as informaçõ es e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis cla ssificações das ameaças quanto a sua intencionalidade? Ocasionais, Involuntárias e Obrigatórias. Naturais, Involuntárias e Obrigatórias. Naturais, Voluntarias e Obrigatórias. Naturais, Involuntárias e Voluntarias. Naturais, Voluntarias e Vulneráveis. 69ª Questão Qual o nome do ataque que tem o intuito de enviar uma quantidade em "massa" de e-mails m uitas das vezes indesejáveis ? Spyware Backdoor Rootkit Spam Adware 70ª Questão Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de incidentes sequencialmente ? Incidente, impacto, ameaça e recuperação Ameaça, incidente, impacto e recuperação Incidente, recuperação, impacto e ameaça Impacto, ameaça, incidente e recuperação Ameaça, impacto, incidente e recuperação 71ª Questão A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informaçã o, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: Determina que a organização deve prevenir o acesso físico não autorizado, danos e int erferências com as instalações e informações da organização. São a Legislação vigente, nização, seus parceiros comerciais, É o conjunto de princípios rganização tem que desenvolver Uma orientação de como egurança da informação. A orientação da organização entendam suas responsabilidades reduzir o risco de furto 72ª Questão De acordo com as normas NBR gestão de continuidade do negócio GCN é uma abordagem A análise de impacto , serviços e(ou) atividades A implementação da de resposta a incidentes, GCN é a fase inicial da A definição da estratégia eráveis de interrupção vigente, estatutos, regulamentação e cláusulas contratuais comerciais, contratados e provedores de serviço tem que atender. princípios e objetivos para o processamento da informação desenvolver para apoiar suas operações. como a organização deve proceder para estabelecer da informação. organização para assegurar que funcionários, fornecedores suas responsabilidades e estejam de acordo com os seus papéis furto ou roubo, fraude ou mau uso dos recursos. NBR 15999 e ABNT NBR 15999-2, assinale a opção correta negócio (GCN). abordagem alternativa à gestão de riscos de segurança da no negócio resulta em melhor entendimento acerca e(ou) atividades críticas e recursos de suporte de uma organização. resposta de GCN compreende a realização dos testes a incidentes, de continuidade e de comunicação. da implantação da gestão de continuidade em uma estratégia de continuidade determina o valor dos períodos de interrupção das atividades críticas da organização. --------fim------- contratuais que a orga atender. informação que uma o estabelecer a política de s fornecedores e terceiros papéis de forma a correta acerca da da informação. acerca dos produtos organização. testes dos planos uma organização. períodos máximos tol
Compartilhar