Gabarito_72_QuestoesFechadas_SGSI

Prévia do material em texto

1ª Questão 
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três 
princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação 
única de requisitos de negócio e 
 A afirmação é verdadeira. A afirmação é somente verdadeira para as empresas privadas. A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. A afirmação é falsa. A afirmação é somente falsa para as empresas privadas.
 
2ª Questão 
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas 
revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a 
forma como a tecnologia da informa
trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão 
fundamental para as aplicações de tecnologia da informação nas empresas? Apoio ao uso da Internet e do ambient Apoio às Estratégias para vantagem competitiva Apoio à tomada de decisão empresarial Apoio às Operações Apoio aos Processos 
 
3ª Questão 
No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a 
justificativa de defender a liberdade de expressão. Seus integrantes lançaram ataques de 
negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As 
companhias sofreram represália por terem negado hospedagem, bloqueado recursos 
financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo vazamento de 
mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a 
vulnerabilidade neste ataque? Vulnerabilidade de Comunicação Vulnerabilidade Física Vulnerabilidade Mídia 
 Vulnerabilidade de Software Vulnerabilidade Natural 
 
 
4ª Questão 
As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, 
ladrões e etc. poderão ser classificadas como: Insconsequentes Destrutivas Tecnológicas Globalizadas Voluntárias 
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três 
princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação 
única de requisitos de negócio e de segurança¿, podemos dizer que: 
A afirmação é verdadeira. 
A afirmação é somente verdadeira para as empresas privadas. 
A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
A afirmação é falsa. 
somente falsa para as empresas privadas. 
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas 
revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a 
forma como a tecnologia da informação apóia as operações das empresas e as atividades de 
trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão 
fundamental para as aplicações de tecnologia da informação nas empresas? 
Apoio ao uso da Internet e do ambiente wireless 
Apoio às Estratégias para vantagem competitiva 
Apoio à tomada de decisão empresarial 
 
 
No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a 
nder a liberdade de expressão. Seus integrantes lançaram ataques de 
negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As 
companhias sofreram represália por terem negado hospedagem, bloqueado recursos 
ado doações para o WikiLeaks, o serviço responsável pelo vazamento de 
mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a 
vulnerabilidade neste ataque? 
Vulnerabilidade de Comunicação 
Vulnerabilidade Física 
Mídia 
Vulnerabilidade de Software 
Vulnerabilidade Natural 
As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, 
ladrões e etc. poderão ser classificadas como: 
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três 
princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação 
A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas 
revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a 
ção apóia as operações das empresas e as atividades de 
trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão 
 
No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a 
nder a liberdade de expressão. Seus integrantes lançaram ataques de 
negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As 
companhias sofreram represália por terem negado hospedagem, bloqueado recursos 
ado doações para o WikiLeaks, o serviço responsável pelo vazamento de 
mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a 
As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, 
5ª Questão 
A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu 
através do envio de informações inconsistentes para um campo de entrada de dados da tela 
principal do sistema. Neste caso, foi utilizado um ataque de: Buffer Overflow Smurf Fraggle Fragmentação de pacotes IP SQL injection 
 
 
 
6ª Questão 
Qual das opções abaixo descreve melhor o conceito de "Risco" quando relacionado com a 
Segurança da Informação: Probabilidade de um incidente ocorrer mais vezes. Probabilidade de um ativo explorar uma vulnerabilidade Probabilidade de um ativo explorar uma ameaça. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade Probabilidade de uma ameaça explorar um incidente. 
 
 
7ª Questão 
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela 
norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem 
quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer 
organização: Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias 
internas Sistema de gestão de segurança da informação, classificação da informação, auditoria 
internas e análise de risco. Responsabilidade da direção, auditorias internas, controle de registros, sistema de 
gestão de segurança da informação. Sistema de gestão de segurança da informação, responsabilidade da direção, análise 
crítica do SGSI pela direção e Melhoria do SGSI Sistema de gestão de segurança da informação, análise de risco, auditorias internas e 
melhoria do SGSI 
 
 
 
8ª Questão 
Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado 
ponto de controle da rede de computadores de uma empresa sendo sua função a de regular o 
tráfego de dados entre essa rede e a internet e impedir a transmissão e/ou recepção de 
acessos nocivos ou não autorizados. 
 Adware. Mailing. 
 Firewall. Antivírus. Spyware. 
 
9ª Questão 
Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las 
quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a 
origem para as ameaças ? Interna e Oculta Secreta e Externa Conhecida e Externa Secreta e Oculta Interna e Externa 
 
10ª Questão 
O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja 
trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está 
relacionado com qual conceito? Ameaça. Impacto. Vulnerabilidade. Risco. Valor. 
 
 
11ª Questão 
Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho 
no ramo financeiro, onde a divulgação de determinadas informações pode causar danos 
financeiros ou à imagem da sua empresa, além de gerar vantagens aosconcorrentes e 
também possíveis perda de clientes. Neste caso você classificaria estas informações em qual 
nível de segurança? 
 Secreta. Interna. Pública. Irrestrito. Confidencial. 
 
12ª Questão 
 Qual opção abaixo representa a descrição do Passo “Levantamento das Informações”dentre 
aqueles que são realizados para um ataque de segurança ? A atacante tenta manter seu próprio domínio sobre o sistema O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar 
sua permanência. 
 O atacante procura coletar o maior número possível de informações sobre o "alvo 
em avaliação". O atacante explora a rede baseado nas informações obtidas na fase de 
reconhecimento O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema. 
 
13ª Questão 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na 
área de infra-estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de 
avisos sobre a existência de alarmes. Neste caso que tipo de barreira você está 
implementando? Detectar 
 Desencorajar Deter Discriminar Dificultar 
 
 
14ª Questão 
Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo 
falso? Secreto Fraco 
 Ativo Passivo Forte 
 
15ª Questão 
Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir 
que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os 
padrões e melhores práticas de segurança reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os 
padrões de segurança de empresas de maior porte reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo 
fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com 
os desejos de segurança dos funcionários e padrões comerciais. implementou um sistema para gerência da segurança da informação de acordo com os 
padrões nacionais das empresas de TI. 
 
16ª Questão 
Ao analisarmos a afirmativa: “Devemos levar em consideração que diferentes ameaças 
possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também 
impactos diferentes para uma mesma ameaça”. Podemos dizer que é: 
 falsa, pois os impactos são sempre iguais para ameaças diferentes. 
 verdadeira . falsa, pois não depende do ativo afetado. falsa, pois não devemos considerar que diferentes ameaças existem . parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma 
ameaça. 
 
17ª Questão 
A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das 
atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou 
desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 
27002 está fazendo referência a que tipo de ação de Segurança: Controle de Acesso. Segurança Física e do Ambiente. Gerenciamento das Operações e Comunicações. Gestão de Incidentes de Segurança da Informação. Gestão da Continuidade do Negócio. 
 
18ª Questão 
Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar 
ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a 
probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são 
consideradas: Medidas Perceptivas Métodos Quantitativos Medidas Corretivas e Reativas 
 Medidas Preventivas Métodos Detectivos 
 
19ª Questão 
Como não existe uma única causa para o surgimento das vulnerabilidades, diferentes tipos de 
vulnerabilidade podem estar presente em diversos ambientes computacionais. Neste sentido 
qual das opções abaixo não representa um exemplo de tipo de vulnerabilidade? Mídia. Hardware. 
 Vírus. Natural. Humana. 
 
20ª Questão 
Um tipo de software especificamente projetado para apresentar propagandas, seja através de 
um browser, seja através de algum outro programa instalado em um computador pode ser 
descrito como sendo um: Active-x Java Script 
 Adware Spyware Worm 
 
21ª Questão 
Você é um consultor de segurança e trabalha em projetos de segurança da informação, que 
tem como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das 
opções abaixo não representa um exemplo de Ativo Intangível: Sistema de Informação. Marca de um Produto. Imagem da Empresa no Mercado. Qualidade do Serviço. Confiabilidade de um Banco. 
 
22ª Questão 
 Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da 
informação, de acordo com a ABNT NBR ISO/IEC 27005. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de 
avaliação de riscos Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a 
probabilidade de incidentes de segurança. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo 
previamente estabelecido. 
 O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior 
nível de risco. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de 
ameaças de origem humana. 
 
23ª Questão 
Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo 
atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes 
servidores indisponíveis pela sobrecarga ao invés da invasão? Source Routing Shrink wrap code 
 DDos SQL Injection Phishing Scan 
 
24ª Questão 
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a 
Segurança da Informação: Probabilidade de uma ameaça explorar um incidente. Probabilidade de um ativo explorar uma vulnerabilidade. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade Probabilidade de um ativo explorar uma ameaça. 
 Probabilidade de um incidente ocorrer mais vezes. 
 
25ª Questão 
No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada 
como um Problema de Segurança: Uma tempestade. Uma inundação. A perda de qualquer aspecto de segurança importante para a organização. 
 Restrição Financeira. Uma Operação Incorreta ou Erro do usuário. 
 
26ª Questão 
Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas 
organizações ? Manutenção, implementação do programa e maturação Planejamento, estudo e implementação do programa Planejamento, maturação e desenvolvimento Manutenção, desenvolvimento e implementação do programa Planejamento, desenvolvimento e implementação do programa 
 
27ª Questão 
Os ataques a computadores são ações praticadas por softwares projetados com intenções 
danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou 
invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou 
software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até 
mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a 
classificação das ameaças podemos definir como ameaças involuntárias: Ameaças propositais causadas por agentes humanos como crackers, invasores, 
espiões, ladrões e etc. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de 
criptografia nas comunicações. Erros propositais de instalação ou de configuração possibilitando acessos indevidos. Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, 
terremotos e etc. Danos quase sempre internos - são uma das maiores ameaças ao ambiente,podem ser 
ocasionados por falha no treinamento, acidentes, erros ou omissões. 
 
28ª Questão 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a 
utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções 
abaixo não se aplica ao conceito de "Informação"? Por si só não conduz a uma compreensão de determinado fato ou situação; Pode habilitar a empresa a alcançar seus objetivos estratégicos; Possui valor e deve ser protegida; É a matéria-prima para o processo administrativo da tomada de decisão; 
 É dado trabalhado, que permite ao executivo tomar decisões; 
 
29ª Questão 
Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de 
confidencialidade quanto pela de disponibilidade¿. Esta afirmação é: falsa, pois a informação não deve ser avaliada pela sua disponibilidade. verdadeira desde que seja considerada que todas as informações são publicas. falsa, pois não existe alteração de nível de segurança de informação. 
 verdadeira, pois a classificação da informação pode ser sempre reavaliada. verdadeira se considerarmos que o nível não deve ser mudado. 
 
30ª Questão 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da 
informação, de acordo com a ABNT NBR ISO/IEC 27005. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo 
previamente estabelecido. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a 
probabilidade de incidentes de segurança. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de 
ameaças de origem humana. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de 
avaliação de riscos O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior 
nível de risco. 
 
31ª Questão 
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter 
acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) 
para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? Ip Spoofing Port Scanning Fraggle Fragmentação de pacotes IP SYN Flooding 
 
32ª Questão 
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma 
barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica 
ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter": Esta barreira tem um sentido especial de representar a continuidade do processo de 
gestão de segurança da informação. 
 Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que 
suportam o negócio. Esta é a primeira das barreiras de segurança e cumpre o papel importante de 
desencorajar as ameaças. 
 Esta barreira trata como importante se cercar de recursos que permitam identificar e 
gerir os acessos, definindo perfis e autorizando permissões. Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , 
alertem e instrumentem os gestores da segurança na detecção de situações de risco. 
 
 
33ª Questão 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de riscos, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos 
requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos 
atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos 
requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
34ª Questão 
 Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende 
implantar um servidor Internet para que os clientes possam acessar as informações oferecidas 
pela empresa à seus clientes. Em qual tipo de rede você localizaria este servidor considerando 
que você irá utilizar o conceito de perímetro de segurança? na Zona Desmilitarizada (DMZ) protegida na Zona Desmilitarizada (DMZ) suja ligado diretamente no roteador de borda na rede interna da organização em uma subrede interna protegida por um proxy 
 
35ª Questão 
Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e 
principalmente na forma como a tecnologia da informação tem apóiado as operações das 
empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de 
¿Informação¿ ? É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. É fundamental proteger o conhecimento gerado. Pode conter aspectos estratégicos para a Organização que o gerou. A informação é vital para o processo de tomada de decisão de qualquer corporação. Deve ser disponibilizada sempre que solicitada. 
 
36ª Questão 
Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho 
no ramo financeiro, onde a divulgação de determinadas informações pode causar danos 
financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e 
também possíveis perda de clientes. Neste caso você classificaria estas informações em qual 
nível de segurança? Pública. 
 Confidencial. Irrestrito. Secreta. Interna. 
 
37ª Questão 
Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. 
Nesse ataque os hackers direcionavam os usuários que acessavam o site do banco Bradesco 
para uma página falsa e roubavam os dados e as senhas destes usuários. O site teve um 
problema nos servidores de DNS, que traduziram o endereço do Bradesco como sendo de 
outro servidor, no qual havia uma página falsa e eles puderam roubar os dados e as senhas. 
Qual você acha que seria a vulnerabilidade neste ataque? Vulnerabilidade de Software Vulnerabilidade Natural Vulnerabilidade Mídia Vulnerabilidade de Comunicação Vulnerabilidade Física 
 
38ª Questão 
Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a 
Segurança da Informação: Tudo aquilo que tem origem para causar algum tipo de erro nos ativos Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. 
 Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos 
 
39ª Questão 
Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de 
segurança da informação, através de três fontes principais: Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais Classificação da informação, requisitos de negócio e análise de risco Análise de vulnerabilidades, requisitos legais e classificação da informação Análise de risco, análise do impacto de negócio (BIA), classificação da informação Requisitos de negócio, Análise de risco, Requisitos legais 
 
40ª Questão 
Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende 
implantar um servidor de banco de dados somente para consulta dos usuários internos da 
organização. Em qual tipo de rede você localizaria este servidor considerando que você irá 
utilizar o conceito de perímetro de segurança? ligado diretamente no roteador de borda 
 em uma subrede externa protegida por um proxy na Zona Demilitarizada (DMZ) protegida na Zona Demilitarizada (DMZ) suja na rede interna da organização 
 
41ª Questão 
Qual das opções abaixo não apresentauma das quatro categorias conhecidas de Ataques? Aceitação de Serviço Disfarce Modificação de mensagem Negação de Serviço Repetição 
 
42ª Questão 
Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? Alteração ou destruição de arquivos; Monitoramento de URLs acessadas enquanto o usuário navega na Internet Captura de senhas bancárias e números de cartões de crédito; Captura de outras senhas usadas em sites de comércio eletrônico; Alteração da página inicial apresentada no browser do usuário; 
 
43ª Questão 
Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor 
de banco de dados com as informações dos clientes da organização. Pedro, o invasor, tenta 
esconder seus atos não autorizados com o objetivo de prolongar sua permanência de acesso. 
Entre outras coisas Pedro alterou os arquivos de Log. Neste caso, Pedro está em que passo da 
metodologia de um ataque? Levantamento das Informações Obtenção de Acesso 
 Camuflagem das Evidências Divulgação do Ataque Exploração das Informações 
 
44ª Questão 
A NBR ISO/IEC 27002 orienta que a organização assegurar que funcionários, fornecedores e 
terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma 
a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. Neste caso a NBR ISO/IEC 
27002 está fazendo referencia a que tipo de ação de Segurança: Gerenciamento das Operações e Comunicações. 
 Segurança em Recursos Humanos. Segurança Física e do Ambiente. Segurança dos Ativos. Controle de Acesso. 
 
 
44ª Questão 
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a 
Segurança da Informação: Probabilidade de uma ameaça explorar um incidente. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade Probabilidade de um incidente ocorrer mais vezes. Probabilidade de um ativo explorar uma ameaça. Probabilidade de um ativo explorar uma vulnerabilidade. 
 
45ª Questão 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas 
ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, 
resultados de auditorias, da análise dos eventos monitorados e através de ações: Prevenção e Preventivas. 
 Corretivas e Preventivas. Corrigidas e Preventivas. Corretivas e Corrigidas. Corretivas e Correção. 
 
46ª Questão 
Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que 
possam impactar no estudo e implementação de um processo de gestão de segurança em uma 
organização? Ameaça. 
 insegurança Risco. Vulnerabilidade. Impacto . 
 
47ª Questão 
João configurou nas máquinas servidoras da empresa que trabalha o serviço de Log de forma a 
registrar as operações realizadas pelos usuários e serviços do sistema. Neste caso, João está 
implementando uma propriedade de segurança relacionada à(o): Não-Repúdio; Integridade; Disponibilidade; Confidencialidade; Auditoria; 
 
48ª Questão 
Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também 
muitos desafios de negócios e gerenciais no desenvolvimento e implementação de 
novos usos da tecnologia da informação em uma empresa. Neste contexto 
qual o objetivo fundamental da ¿Segurança da Informação¿? 
 Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informaçõ
es. Visa à proteção dos equipamentos de uma empresa que contêm informações. Visam à proteção alguns poucos ativos de uma empresa que contêm informações. 
 Visa à proteção de todos os ativos de uma empresa que contêm informações. Visa principalmente à proteção dos ativos patrimoniais que contêm informações. 
 
48ª Questão 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste caso houve uma falha na segurança da informação relacionada à: Integridade; Autenticidade; Auditoria; Não-Repúdio; Confidencialidade; 49ª Questão 
O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? Problema Vulnerabilidade Risco Dependência Ameaça 
50ª Questão 
Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. F
aça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 
1. Spyware 
2. Adware 
3. Engenharia Social 
 4. Backdoor 
5. Phishing Coluna II 
 
( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma pág
ina clonada ou a um arquivo malicioso. 
( ) Software que insere propagandas em outros programas. 
( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. 
( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. 
( ) Programa espião. 
A sequencia correta é: 5, 2, 4, 3, 1. 3, 2, 4, 5, 1. 3, 1, 4, 5, 2. 
 3, 1, 5, 2, 4. 5,1,4,3,2. 
 
51ª Questão 
Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qu
al das opções abaixo Não representa um destes tipos de ataques? Ataque aos Sistemas Operacionais Ataque para Obtenção de Informações Ataque à Aplicação Ataque de Configuração mal feita Ataques Genéricos 
 
52ª Questão 
Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra u
m determinado risco está muito além das possibilidades da organização e 
portanto não vale a pena tratá-lo. Neste caso você: Aceita o risco Trata o risco a qualquer custo Comunica o risco Ignora o risco Rejeita o risco 
 
53ª Questão 
A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das ati
vidades do negócio e deve proteger os processos críticos contra efeitos de falhas ou 
desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a 
 NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança? Gerenciamento das Operações e Comunicações Controle de Acesso 
 Gestão da Continuidade do Negócio Gestão de Incidentes de Segurança da Informação Segurança Física e do Ambiente. 
 
54ª Questão 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigató
rios e que podem ser implementados em todos os tipos de organizações de diferentes 
tamanhos e setores. Cada organização ao 
implementar a gestão da continuidade de negócios deverá adaptar as suas 
 necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como 
podemos definir o elemento "Entendendo a Organização"? Para que às partes interessadas tenham confiança quanto à capacidade da organização
 de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se 
parte dos valores da organização, através da sua inclusão na cultura da empresa. Para o estabelecimento do programa de GCN é necessário entender a organização par
a definir a priorização dos produtos e serviços da organização e a urgência das 
atividades que são necessárias para fornecê-los. O desenvolvimento e implementação de uma resposta de GCN resulta na criação de u
ma estrutura de gestão e uma estrutura de gerenciamento de incidentes, 
 continuidade de negócios e planos de recuperação que irão detalhar os passos a 
serem tomados durante e após um incidente , para manter ou restaurar as operações. A organização precisa verificar se suas estratégicas e planos estão completos, atualizad
os e precisos. O GCN deverá ser testado, mantido,analisado criticamente, 
auditado e ainda identificada as oportunidades de melhorias possíveis. A determinação da estratégia de continuidade de negócio permite que uma resposta a
propriada seja escolhida para cada produto ou serviço, de modo que a organização 
possa continuar fornecendo seus produtos e serviços em um nível operacional e 
quantidade de tempo aceitável durante e logo após uma interrupção. 
 
 
55ª Questão 
Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 
3 (três) aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança 
da Informação". Quais elementos compõem a tríade da segurança da informação? Privacidade, Governabilidade e Confidencialidade 
 Confiabilidade, Integridade e Disponibilidade Autenticidade, Legalidade e Privacidade Disponibilidade, Privacidade e Segurabilidade Integridade, Legalidade e Confiabilidade 
 
 
56ª Questão 
Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e 
principalmente na forma como a tecnologia da informação tem apóiado as operações das 
empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de 
¿Informação¿ ? 
 É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. É fundamental proteger o conhecimento gerado. A informação é vital para o processo de tomada de decisão de qualquer corporação. Pode conter aspectos estratégicos para a Organização que o gerou. Deve ser disponibilizada sempre que solicitada. 
 
57ª Questão 
A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se 
tornado um elemento fundamental para: A gestão da área comercial. A gestão de orçamento. A gestão do ciclo da informação interna. A gestão dos usuários. A gestão dos negócios da organização 
58ª Questão 
Considere um sistema no qual existe um conjunto de informações disponível para um 
determinado grupo de usuários denominados ¿auditores¿. Após várias consultas com 
respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao 
grupo ¿auditores¿ acessa o sistema em busca de uma informação já acessada anteriormente e 
não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para 
este sistema na propriedade relacionada à: Privacidade; Integridade; 
 Disponibilidade; Não-repúdio; Confidencialidade; 
 
59ª Questão 
 
Observe a figura acima e complete corretamente a legenda dos desenhos: 
 Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e 
produtos Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e 
produtos 
 
60ª Questão 
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente 
articulado pelas redes, onde a informação, independente do seu formato. Uma vez 
identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar 
um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de 
segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as 
informações devam estar guardadas de forma segura. Neste contexto como podemos definir o 
que são vulnerabilidades: Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da 
ingenuidade ou confiança do usuário, para obter informações que podem ser 
utilizadas para ter acesso não autorizado a computadores ou informações. É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases 
de dados através da utilização de SQL. 
 São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, 
terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, 
ladrões, criadores e disseminadores de vírus de computadores, incendiários. Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos 
internos. Permitem o aparecimento de ameaças potenciais à continuidade dos 
negócios das organizações. 
 
61ª Questão 
Os ataques a computadores são ações praticadas por softwares projetados com intenções 
danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou 
invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou 
software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até 
mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a 
classificação das ameaças podemos definir como ameaças involuntárias: Erros propositais de instalação ou de configuração possibilitando acessos indevidos. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de 
criptografia nas comunicações. 
 Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem 
ser ocasionados por falha no treinamento, acidentes, erros ou omissões. Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, 
enchentes, terremotos e etc. Ameaças propositais causadas por agentes humanos como crackers, invasores, 
espiões, ladrões e etc. 
 
62ª Questão 
Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que 
ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre 
outros, e, geralmente, começa com uma mensagem de e-mail semelhante a um aviso oficial de 
uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de 
comércio eletrônico. Exploits. Hijackers. 
 Phishing. Trojans. Wabbit. 
 
63ª Questão 
Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? 
 Passivo Ativo Fraco Secreto Forte 
 
64ª Questão 
João e Pedro são administrador de sistemas de uma importante empresa e estão instalando 
uma nova versão do sistema operacional Windows para máquinas servidoras. Durante a 
instalação Pedro percebeu que existem uma 
série de exemplos de códigos já prontos para serem executados, facilitando assim o trabalho 
de administração do sistema. Qual o tipo de ataque que pode acontecer nesta situação? Phishing Scan Fraggle Dumpster Diving ou Trashing 
 Shrink Wrap Code Smurf 
 
65ª Questão 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opçõ
es abaixo nãopode ser considerada como sendo um dos "Propósitos da Informação" 
dentro das empresas e organizações? Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiro
s; Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; 
 
66ª Questão 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de v
alor . Qual das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao 
seguinte conceito: "Surge no caso de informação secreta ou de interesse comercial, 
quando o uso fica restrito a apenas algumas pessoas"? Valor de restrição. Valor de troca. Valor de uso. Valor de propriedade. Valor de negócio. 
 
67ª Questão 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que 
 muitas vezes pode dar privilégios de administradorpara o invasor, rodar códigos maliciosos 
remotamente, burlar particularidades de cada sistema, ataques de 
 Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação 
das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware: Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, fa
lta de energia). Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de f
abricação. 
 Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planeja
das. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a 
instalação. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de cripto
grafia nas comunicações. 
 
68ª Questão 
As ameaças são agentes ou condições que causam incidentes que comprometem as informaçõ
es e seus ativos 
por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis cla
ssificações das ameaças quanto a sua intencionalidade? Ocasionais, Involuntárias e Obrigatórias. Naturais, Involuntárias e Obrigatórias. Naturais, Voluntarias e Obrigatórias. 
 Naturais, Involuntárias e Voluntarias. Naturais, Voluntarias e Vulneráveis. 
 
 
69ª Questão 
Qual o nome do ataque que tem o intuito de enviar uma quantidade em "massa" de e-mails m
uitas das vezes indesejáveis ? Spyware Backdoor Rootkit 
 Spam Adware 
 
70ª Questão 
Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo 
de gestão de incidentes sequencialmente ? Incidente, impacto, ameaça e recuperação 
 Ameaça, incidente, impacto e recuperação Incidente, recuperação, impacto e ameaça Impacto, ameaça, incidente e recuperação Ameaça, impacto, incidente e recuperação 
 
71ª Questão 
A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informaçã
o, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, 
implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. 
 Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos 
 definir como Requisitos do Negócio: Determina que a organização deve prevenir o acesso físico não autorizado, danos e int
erferências com as instalações e informações da organização. 
 São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a orga
nização, seus 
parceiros comerciais, contratados e provedores de serviço tem que atender. É o conjunto de princípios e objetivos para o processamento da informação que uma o
rganização tem que desenvolver para apoiar suas operações. Uma orientação de como a organização deve proceder para estabelecer a política de s
egurança da informação. A orientação da organização para assegurar que funcionários, fornecedores e terceiros
 entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a 
 reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. 
 
72ª Questão 
De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da 
gestão de continuidade do negócio (GCN). GCN é uma abordagem alternativa à gestão de riscos de segurança da informação. A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos
, serviços e(ou) atividades críticas e recursos de suporte de uma organização. A implementação da resposta de GCN compreende a realização dos testes dos planos 
de resposta a incidentes, de continuidade e de comunicação. GCN é a fase inicial da implantação da gestão de continuidade em uma organização. A definição da estratégia de continuidade determina o valor dos períodos máximos tol
eráveis de interrupção das atividades críticas da organização. 
 
 
 
 
--------fim-------