Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
Exercicios para Gestao de segurança da inf.
Compartilhar
Prévia do material em texto
1a Questão (Ref.: 201402212848) Fórum de Dúvidas (12) Saiba (2) Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos dizer que: A afirmativa é verdadeira somente para vulnerabilidades lógicas. A afirmativa é falsa. A afirmativa é verdadeira somente para ameaças identificadas. A afirmativa é verdadeira somente para vulnerabilidades físicas. A afirmativa é verdadeira. 2a Questão (Ref.: 201402215466) Fórum de Dúvidas (1 de 12) Saiba (2) Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como a tecnologia da informação tem apóiado as operações das empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de ¿Informação¿ ? É fundamental proteger o conhecimento gerado. Deve ser disponibilizada sempre que solicitada. A informação é vital para o processo de tomada de decisão de qualquer corporação. É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. Pode conter aspectos estratégicos para a Organização que o gerou. Gabarito Comentado 3a Questão (Ref.: 201402215566) Fórum de Dúvidas (3 de 12) Saiba (2) O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas? Apoio aos Processos Apoio às Estratégias para vantagem competitiva Apoio ao uso da Internet e do ambiente wireless Apoio às Operações Apoio à tomada de decisão empresarial 4a Questão (Ref.: 201402212851) Fórum de Dúvidas (1 de 12) Saiba (2) O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; 5a Questão (Ref.: 201402215573) Fórum de Dúvidas (3 de 12) Saiba (2) Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da Informação: Tudo aquilo que tem valor para a organização. Tudo aquilo que é utilizado no Balanço Patrimonial. Tudo aquilo que não manipula dados. Tudo aquilo que não possui valor específico. Tudo aquilo que a empresa usa como inventario contábil. 6a Questão (Ref.: 201402215558) Fórum de Dúvidas (12) Saiba (2) O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará está relacionado com qual conceito de? Impacto. Risco. Valor. Vulnerabilidade. Ameaça. 1a Questão (Ref.: 201402215655) Fórum de Dúvidas (1) Saiba (0) Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Segundo os conceitos da Segurança da Informação, onde devemos proteger as informações? Nos Ativos . Nos Riscos. Nas Vulnerabilidades e Ameaças. Nas Vulnerabilidades. Nas Ameaças. Gabarito Comentado 2a Questão (Ref.: 201402215620) Fórum de Dúvidas (1) Saiba (0) Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada informação tem . Quando uma informação é classificada como aquela que a organização não tem interesse em divulgar, cujo acesso por parte de indivíduos externos a ela deve ser evitado, porém caso seja disponibilizada não causará danos sérios à organização, podemos afirmar que ela possui qual nível de segurança? Irrestrito. Interna. Secreta. Pública Confidencial. Confidencial. Gabarito Comentado 3a Questão (Ref.: 201402215652) Fórum de Dúvidas (1) Saiba (0) A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para: A gestão dos negócios da organização . A gestão de orçamento. A gestão do ciclo da informação interna. A gestão dos usuários. A gestão da área comercial. 4a Questão (Ref.: 201402215610) Fórum de Dúvidas (1) Saiba (0) O advento da internet e a globalização transformaram completamente o mundo que vivemos e consequentemente estão revolucionando o modo de operação das empresas . A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Por que as organizações devem proteger as suas informações? Somente pelos seus valores qualitativos e financeiros. Pelos seus valores estratégicos e qualitativos. Pelos seus valores estratégicos e financeiros. Pelos seus valores internos e qualitativos. Somente pelo seu valor financeiro . 5a Questão (Ref.: 201402732281) Fórum de Dúvidas (1) Saiba (0) Você está analisando um documento e precisa verificar se os dados estão corretos. Qual aspecto de segurança da informação sobre confiabilidade você está verificando? Integridade Privacidade Não repúdio Legalidade Disponibilidade Gabarito Comentado 6a Questão (Ref.: 201402215596) Fórum de Dúvidas (1) Saiba (0) Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Não-repúdio; Integridade; Disponibilidade; Confidencialidade; Privacidade; 1a Questão (Ref.: 201402859546) Fórum de Dúvidas (5) Saiba (0) Em relação às vulnerabilidades de protocolos e aplicações de acesso remotos, assinale a afirmativa correta: Kerberos e SSH (Secure Shell) são soluções para autenticação remota com uso de criptografia, eliminando os problemas de soluções tais como o Telnet. Bots são softwares maliciosos e autônomos que se conectam por meio de um componente ICQ. Normalmente, o software usado para gerenciamento destes canais é modifi cado de forma que sirvam a mais bots e que não revelem a quantidade de bots associados.Utilizando ferramentas específicas, é possível explorar a possibilidade de enviar mensagens anônimas a partir do IRC, gerando uma espécie de spoofing de mensagens, se o endereço IP e a porta IRC da vítima forem conhecidos. É aconselhável colocar servidores de Terminal (Terminal Servers) fora da DMZ (De- Militarized Zone) para proteger a rede interna da organização. O Telnet é um padrão para acesso a terminais na Internet, que provê segurança por meio da autenticação de usuários, além de manter uma conexão com tráfego criptografado. Gabarito Comentado 2a Questão (Ref.: 201402382023) Fórum de Dúvidas (1 de 5) Saiba (0) As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Software: Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários. Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). 3a Questão (Ref.: 201402853161) Fórum de Dúvidas (5) Saiba (0) Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas tentativas de invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade de Comunicação. Vulnerabilidade Física. Vulnerabilidade de Mídias. Vulnerabilidade Natural. Vulnerabilidade de Software. 4a Questão (Ref.: 201402286468) Fórum de Dúvidas (1 de 5) Saiba (0) Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque DDoS e foi descrito como o maior já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕES de blogs, incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre eles, estão inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcançou vários Gigabits por segundo e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do Wordpress, a investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Natural Vulnerabilidade Comunicação Vulnerabilidade Mídias Vulnerabilidade Software Vulnerabilidade Física Gabarito Comentado 5a Questão (Ref.: 201402381985) Fórum de Dúvidas (5) Saiba (0) As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física: Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Gabarito Comentado 6a Questão (Ref.: 201402286470) Fórum de Dúvidas (1 de 5) Saiba (0) As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e- mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Natural Vulnerabilidade Comunicação Vulnerabilidade Mídia Vulnerabilidade Física Vulnerabilidade de Software 1a Questão (Ref.: 201402859546) Fórum de Dúvidas (5) Saiba (0) Em relação às vulnerabilidades de protocolos e aplicações de acesso remotos, assinale a afirmativa correta: Kerberos e SSH (Secure Shell) são soluções para autenticação remota com uso de criptografia, eliminando os problemas de soluções tais como o Telnet. Bots são softwares maliciosos e autônomos que se conectam por meio de um componente ICQ. Normalmente, o software usado para gerenciamento destes canais é modifi cado de forma que sirvam a mais bots e que não revelem a quantidade de bots associados. Utilizando ferramentas específicas, é possível explorar a possibilidade de enviar mensagens anônimas a partir do IRC, gerando uma espécie de spoofing de mensagens, se o endereço IP e a porta IRC da vítima forem conhecidos. É aconselhável colocar servidores de Terminal (Terminal Servers) fora da DMZ (De-Militarized Zone) para proteger a rede interna da organização. O Telnet é um padrão para acesso a terminais na Internet, que provê segurança por meio da autenticação de usuários, além de manter uma conexão com tráfego criptografado. Gabarito Comentado 2a Questão (Ref.: 201402382023) Fórum de Dúvidas (1 de 5) Saiba (0) As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Software: Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários. Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). 3a Questão (Ref.: 201402853161) Fórum de Dúvidas (5) Saiba (0) Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas tentativasde invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade de Comunicação. Vulnerabilidade Física. Vulnerabilidade de Mídias. Vulnerabilidade Natural. Vulnerabilidade de Software. 4a Questão (Ref.: 201402286468) Fórum de Dúvidas (1 de 5) Saiba (0) Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque DDoS e foi descrito como o maior já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕES de blogs, incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre eles, estão inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcançou vários Gigabits por segundo e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do Wordpress, a investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Natural Vulnerabilidade Comunicação Vulnerabilidade Mídias Vulnerabilidade Software Vulnerabilidade Física Gabarito Comentado 5a Questão (Ref.: 201402381985) Fórum de Dúvidas (5) Saiba (0) As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física: Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Gabarito Comentado 6a Questão (Ref.: 201402286470) Fórum de Dúvidas (1 de 5) Saiba (0) As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Natural Vulnerabilidade Comunicação Vulnerabilidade Mídia Vulnerabilidade Física Vulnerabilidade de Software 1a Questão (Ref.: 201402212374) Fórum de Dúvidas (1) Saiba (0) Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? Conhecida e Externa Interna e Externa Interna e Oculta Secreta e Oculta Secreta e Externa 2a Questão (Ref.: 201402398660) Fórum de Dúvidas (1 de 1) Saiba (0) As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua intencionalidade: Natural, voluntária e involuntária Intencional, proposital e natural Natural, presencial e remota Intencional, presencial e remota Voluntária, involuntária e intencional Gabarito Comentado 3a Questão (Ref.: 201402212391) Fórum de Dúvidas (1) Saiba (0) Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um: worm cavalo de tróia (trojan horse) active-x exploit vírus 4a Questão (Ref.: 201402212462) Fórum de Dúvidas (1) Saiba (0) Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: Métodos Quantitativos Medidas Perceptivas Medidas Preventivas Medidas Corretivas e Reativas Métodos Detectivos Gabarito Comentado 5a Questão (Ref.: 201402212388) Fórum de Dúvidas (1) Saiba (0) As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classificadas como: Insconsequentes Voluntárias Destrutivas Tecnológicas. Globalizadas Gabarito Comentado 6a Questão (Ref.: 201402212363) Fórum de Dúvidas (1) Saiba (0) Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador pode ser descrito como sendo um: Worm Adware Active-x Java Script Spyware 1a Questão (Ref.: 201402764011) Fórum de Dúvidas (2 de 5) Saiba (0) João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando derrubar à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? Fraggle Port Scanning Fragmentação de pacotes IP SYN Flooding Ip Spoofing Gabarito Comentado 2a Questão (Ref.: 201402212443) Fórum de Dúvidas (2 de 5) Saiba (0) Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são realizados para um ataque de segurança ? O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação". O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência. O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema. O atacante tenta manter seu próprio domínio sobre o sistema O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento 3a Questão (Ref.: 201402387303) Fórum de Dúvidas (2 de 5) Saiba (0) Suponha que um hacker esteja planejando um ataque a uma empresa. Inicialmente irá utilizar diversos artifícios e mecanismos para se aproximar da empresa ou rede a ser atacada. Como se chama este primeiro passo do atacante? Levantamento das Informações de forma passiva. Engenharia Social Levantamento das Informações de forma ativa Explorando informações. Acessando a empresa 4a Questão (Ref.: 201402745013) Fórum de Dúvidas (2 de 5)Saiba (0) Qual o nome do ataque que tem o intuito de enviar uma quantidade em "massa" de e-mails muitas das vezes indesejáveis ? Adware Backdoor Rootkit Spam Spyware Gabarito Comentado 5a Questão (Ref.: 201402212413) Fórum de Dúvidas (2 de 5) Saiba (0) A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de: Buffer Overflow Smurf SQL injection Fragmentação de pacotes IP Fraggle 6a Questão (Ref.: 201402853622) Fórum de Dúvidas (2 de 5) Saiba (0) Ataques a sistemas de computação são tipos de crimes virtuais que visam, entre outras coisas, obter informações que se encontram em sistemas alheios. Crimes dos quais todos os internautas e empresas correm o risco de sofrer, mas que nem sempre sabem exatamente o que são, como agem e quais danos podem vir a causar aos computadores e sistemas. Qual dos itens abaixo "não" pertence ao ciclo de um ataque: Camuflagem das evidências. Quebra de sigilo bancário. Exploração das informações. Obtenção do acesso. Levantamento das informações. 1a Questão (Ref.: 201402382114) Fórum de Dúvidas (3) Saiba (0) Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter": Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Gabarito Comentado 2a Questão (Ref.: 201402212453) Fórum de Dúvidas (1 de 3) Saiba (0) É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Qual das opções abaixo Não representa um destes propósitos? Preparação de um plano de respostas a incidentes. Preparação de um plano para aceitar todos os Riscos Conformidade Legal e a evidência da realização dos procedimentos corretos Preparação de um plano de continuidade de negócios. Descrição dos requisitos de segurança da informação para um produto. Gabarito Comentado 3a Questão (Ref.: 201402212449) Fórum de Dúvidas (1 de 3) Saiba (0) Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infra- estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de alarmes. Neste caso que tipo de barreira você está implementando? Detectar Deter Dificultar Desencorajar Discriminar 4a Questão (Ref.: 201402212461) Fórum de Dúvidas (1 de 3) Saiba (0) Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: Melhorar a efetividade das decisões para controlar os riscos Melhorar a eficácia no controle de riscos Entender os riscos associados ao negócio e a gestão da informação Eliminar os riscos completamente e não precisar mais tratá-los Manter a reputação e imagem da organização Gabarito Comentado 5a Questão (Ref.: 201402212463) Fórum de Dúvidas (3) Saiba (0) Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos numéricos para os componentes associados ao risco. Método Classificatório Método Quantitativo Método Qualitativo Método Exploratório. Método Numérico. 6a Questão (Ref.: 201402212452) Fórum de Dúvidas (1 de 3) Saiba (0) Você trabalha na área de gestão de risco da sua organização. Após a fase de análise de risco, você irá realizar a etapa de tratamento de risco através da implementação de controles que irão reduzir a probabilidade de ameaças se concretizarem , assim como a diminuição do grau de vulnerabilidade do ambiente de produção. Neste caso a medida de proteção implementada foi: Métodos detectivos Medidas reativas Medidas corretivas Medidas de controles Medidas preventivas 1a Questão (Ref.: 201402212800) Fórum de Dúvidas (0) Saiba (0) Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção? Procedimentos. Normas. Relatório Estratégico. Diretrizes. Manuais. Gabarito Comentado 2a Questão (Ref.: 201402894223) Fórum de Dúvidas (0) Saiba (0) Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações. A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra. Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência. 3a Questão (Ref.: 201402894214) Fórum de Dúvidas (0) Saiba (0) A gestão da continuidade do negócio está associada, a não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. Analise: I. Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio; II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade; III. Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação. IV. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação; Quanto aos controles relacionados à gestão da continuidade do negócio,marque a opção correta: I, II e III, somente I e III, somente I e II, somente II e IV, somente I, II e IV, somente 4a Questão (Ref.: 201402212471) Fórum de Dúvidas (0) Saiba (0) A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança? Segurança em Recursos Humanos Gerenciamento das Operações e Comunicações Segurança Física e do Ambiente Desenvolvimento e Manutenção de Sistemas Controle de Acesso 5a Questão (Ref.: 201402300118) Fórum de Dúvidas (0) Saiba (0) Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 6a Questão (Ref.: 201402300124) Fórum de Dúvidas (0) Saiba (0) Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado. 1a Questão (Ref.: 201402212838) Fórum de Dúvidas (1 de 3) Saiba (0) A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ? Limitação. Reação. Recuperação . Preventiva. Correção. 2a Questão (Ref.: 201402212811) Fórum de Dúvidas (3) Saiba (0) A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Corrigidas. Prevenção e Preventivas. Corretivas e Correção. Corretivas e Preventivas. Corrigidas e Preventivas. 3a Questão (Ref.: 201402300119) Fórum de Dúvidas (1 de 3) Saiba (0) A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise: A avaliação dos riscos e incidentes desejados A avaliação das ações preventivas e corretivas Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores Os resultados das auditorias anteriores e análises críticas A realimentação por parte dos envolvidos no SGSI Gabarito Comentado 4a Questão (Ref.: 201402883229) Fórum de Dúvidas (1 de 3) Saiba (0) O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação. Selecionar objetivos de controle e controles para o tratamento de riscos. A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. 5a Questão (Ref.: 201402776870) Fórum de Dúvidas (3) Saiba (0) Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: I e III. II. I e II. II e III. III e IV. Gabarito Comentado 6a Questão (Ref.: 201402212852) Fórum de Dúvidas (1 de 3) Saiba (0) Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações? Administrativa, Física e Programada. Lógica, Administrativa e Contábil. Lógica, Física e Programada. Administrativa, Física e Lógica. Administrativa, Contábil e Física. 1a Questão (Ref.: 201402215605) Fórum de Dúvidas (0) Saiba (0) Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação dousuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? Não-Repúdio; Confidencialidade; Integridade; Auditoria; Autenticidade; Gabarito Comentado 2a Questão (Ref.: 201402293122) Fórum de Dúvidas (0) Saiba (0) Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações que você deve realizar: Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização. Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de produtos e serviços fundamentais para a organização. Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e serviços fundamentais para a organização. Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização. Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização. Gabarito Comentado 3a Questão (Ref.: 201402293117) Fórum de Dúvidas (0) Saiba (0) Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) esteja no nível mais alto da organização? Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas. Gabarito Comentado 4a Questão (Ref.: 201402419219) Fórum de Dúvidas (0) Saiba (0) O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"? Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa. Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. Gabarito Comentado 5a Questão (Ref.: 201402722581) Fórum de Dúvidas (0) Saiba (0) O Plano de Continuidade do Negócio...... deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não. não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação. precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais. prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. define uma ação de continuidade imediata e temporária. 6a Questão (Ref.: 201402388397) Fórum de Dúvidas (0) Saiba (0) BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios. Simples e Objetiva. Clara e Intelegível Natural e Desordenada Qualitativa e Quantitativa Estatística e Ordenada 1a Questão (Ref.: 201402776880) Fórum de Dúvidas (1) Saiba (0) Analise as seguintes afirmações relacionadas à Segurança da Informação e os objetivos do controle de acesso: I. A disponibilidade é uma forma de controle de acesso que permite identificar os usuários legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado. II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente. III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que inspeciona uma rede de dentro para fora, identifica e avalia padrões suspeitos que podem identificar um ataque à rede e emite um alarme quando existe a suspeita de uma invasão. IV. A integridade é uma forma de controle de acesso que evita o acesso de pessoas não autorizadas a informações confidenciais, salvaguardando segredos de negócios e protegendo a privacidade de dados pessoais. Indique a opção que contenha todas as afirmações verdadeiras. III e IV. II e IV. I e II. II e III. I e III. Gabarito Comentado 2a Questão (Ref.: 201402894243) Fórum de Dúvidas (1) Saiba (0) O fato de se poder conectar qualquer computador em qualquer lugar a qualquer outro computador pode torná- lo vulnerável. O recurso técnico para proteger essa conexão de dados é através de: Proxy Esteganografia Certificação digital Firewall PKI 3a Questão (Ref.: 201402894251) Fórum de Dúvidas (1) Saiba (0) A sub-rede, também conhecida como rede de perímetro, utilizada para transmitir informações entre uma rede confiável e uma não confiável, mantendo os serviços que possuem acesso externo separados da rede local, é chamada de: Proxy Intranet VPN Firewall DMZ 4a Questão (Ref.: 201402764017) Fórum de Dúvidas (1) Saiba (0) Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos se comuniquem diretamente com sites na Internet. Neste caso você optará por implementar : Um servidor proxy Um detector de intrusãoUm firewall com estado Um filtro de pacotes Um roteador de borda Gabarito Comentado 5a Questão (Ref.: 201402419357) Fórum de Dúvidas (1) Saiba (0) Uma empresa teve a sua sala de servidores incendiadas e com isso perdeu todos os dados importantes para a empresa, mas ela estava preparada para a continuidade dos negócios, o que você acha que foi importante para a recuperação destes dados: Eles dispunham de uma DMZ que são pequenas redes que geralmente contém serviços públicos que são conectados diretamente ao firewall ou a outro dispositivo de filtragem e que recebem a proteção deste dispositivo. Havia uma VPN interligando várias Intranets através da Internet. Na empresa haviam Backups ou cópias de segurança que são itens muito importantes na administração de sistemas devendo fazer parte da rotina de operação dos sistemas da organização, através de uma política pré-determinada. A empresa possuía um FIREWALL que isolam a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e outros não, prevenindo ataques de negação de serviço ou modificações e acessos ilegais aos dados internos. Eles tinham um IDS que tem como principal objetivo reconhecer um comportamento ou uma ação intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede. 6a Questão (Ref.: 201402764014) Fórum de Dúvidas (1) Saiba (0) Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar: Um analisador de espectro de rede, para analisar o tráfego da rede Um detector de intrusão para realizar a análise do tráfego da rede Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall Um firewall para auxiliar na análise do tráfego da rede Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede 1a Questão (Ref.: 201402215573) Pontos: 1,0 / 1,0 Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da Informação: Tudo aquilo que a empresa usa como inventario contábil. Tudo aquilo que tem valor para a organização. Tudo aquilo que é utilizado no Balanço Patrimonial. Tudo aquilo que não possui valor específico. Tudo aquilo que não manipula dados. 2a Questão (Ref.: 201402212851) Pontos: 1,0 / 1,0 O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo nãopode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; 3a Questão (Ref.: 201402215442) Pontos: 1,0 / 1,0 Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de ¿Ativo de Informação¿? São aqueles que organizam, processam, publicam ou destroem informações. São aqueles tratam, administram, isolam ou armazenam informações. São aqueles que constroem, dão acesso, transmitem ou armazenam informações. São aqueles que produzem, processam, reúnem ou expõem informações. São aqueles que produzem, processam, transmitem ou armazenam informações. 4a Questão (Ref.: 201402215609) Pontos: 1,0 / 1,0 Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade¿. Esta afirmação é: verdadeira, pois a classificação da informação pode ser sempre reavaliada. falsa, pois a informação não deve ser avaliada pela sua disponibilidade. falsa, pois não existe alteração de nível de segurança de informação. verdadeira se considerarmos que o nível não deve ser mudado. verdadeira desde que seja considerada que todas as informações são publicas. 5a Questão (Ref.: 201402719460) Pontos: 1,0 / 1,0 Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. Gabarito Comentado. 6a Questão (Ref.: 201402730142) Pontos: 1,0 / 1,0 O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? Risco Problema Ameaça Vulnerabilidade Dependência Gabarito Comentado. 7a Questão (Ref.: 201402745045) Pontos: 1,0 / 1,0 Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo teclado do usuário e é enviado para o invasor ? Backdoor Spyware Defacement Phishing Keylogger 8a Questão (Ref.: 201402212853) Pontos: 1,0 / 1,0 Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça¿. Podemos dizer que é: falsa, pois não devemos considerar que diferentes ameaças existem . falsa, pois os impactos são sempre iguais para ameaças diferentes. falsa, pois não depende do ativo afetado. verdadeira parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. 9a Questão (Ref.: 201402387300) Pontos: 1,0 / 1,0 Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de comércio eletrônico. Phishing. Wabbit. Hijackers. Exploits. Trojans. Gabarito Comentado. 10a Questão (Ref.: 201402387303) Pontos: 0,0 / 1,0 Suponha que um hacker esteja planejando um ataque a uma empresa. Inicialmente irá utilizar diversos artifícios e mecanismos para se aproximar da empresa ou rede a ser atacada. Como se chama este primeiro passo do atacante? Levantamento das Informações de forma passiva. Explorando informações. Levantamento das Informações de formaativa Acessando a empresa Engenharia Social 1a Questão (Ref.: 201402212847) Pontos: 1,0 / 1,0 A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do tratamento dos Dados para a sua utilização eficaz nas organizações? Dado - Conhecimento - Informação Dado - Informação - Dados Brutos Dado - Informação - Conhecimento Dado - Conhecimento Bruto - Informação Bruta Dado - Informação - Informação Bruta 2a Questão (Ref.: 201402215449) Pontos: 1,0 / 1,0 Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma empresa. Neste contexto qual o objetivo fundamental da ¿Segurança da Informação¿? Visa à proteção dos equipamentos de uma empresa que contêm informações. Visa principalmente à proteção dos ativos patrimoniais que contêm informações. Visam à proteção alguns poucos ativos de uma empresa que contêm informações. Visa à proteção de todos os ativos de uma empresa que contêm informações. Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informações. 3a Questão (Ref.: 201402215472) Pontos: 1,0 / 1,0 Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios considerados como fundamentais para atingir os objetivos da Segurança da Informação: Confidencialidade, Indisponibilidade e Integridade. Confiabilidade, Disponibilidade e Integridade. Confiabilidade, Disponibilidade e Intencionalidade. Confidencialidade, Descrição e Integridade. Confidencialidade, Disponibilidade e Integridade. Gabarito Comentado. 4a Questão (Ref.: 201402215648) Pontos: 1,0 / 1,0 Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao seguinte conceito: "Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas"? Valor de negócio. Valor de propriedade. Valor de restrição. Valor de troca. Valor de uso. 5a Questão (Ref.: 201402853156) Pontos: 1,0 / 1,0 A empresa de segurança cibernética IntelCrawler descobriu no dia 17 de janeiro de 2014 ao menos seis ataques em andamento contra varejistas nos Estados Unidos cujos sistemas de cartão de crédito estão infectados com o mesmo tipo de software malicioso usado para roubar dados de cerca de 40 milhões de cartões de crédito da rede Target. O software malicioso que foi usado para tal feito foi o BlackPOS. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Física. Vulnerabilidade de Comunicação. Vulnerabilidade Software. Vulnerabilidade de Mídias. Vulnerabilidade Natural. 6a Questão (Ref.: 201402859544) Pontos: 0,0 / 1,0 Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade. Firewall mal configurado. Links sem contingência. Funcionário desonesto. Sistema operacional desatualizado. Rede elétrica instável. Gabarito Comentado. 7a Questão (Ref.: 201402719466) Pontos: 1,0 / 1,0 O que são exploits? Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar por outra máquina, utilizando a técnica de Spoofing. Quando estas solicitações começarem a ser respondidas, o sistema alvo será inundado (flood) pelas respostas do servidor. Consiste no software de computador que recolhe a informação sobre um usuário do computador e transmite então esta informação a uma entidade externa sem o conhecimento ou o consentimento informado do usuário. É um programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o worm é um programa completo e não precisa de outro programa para se propagar. São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são utilizados por pessoas sem conhecimento da vulnerabilidade. São programas utilizados para descobrir as senhas dos usuários. Estes programas geralmente são muito lentos, pois usam enormes dicionários com o máximo de combinações possíveis de senhas e ficam testando uma a uma até achar a senha armazenada no sistema Gabarito Comentado. 8a Questão (Ref.: 201402888308) Pontos: 1,0 / 1,0 Pedro construiu um software malicioso capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Neste caso podemos afirmar que Pedro construiu um: Worm Backdoor Keylogger Screenlogger Trojan 9a Questão (Ref.: 201402745013) Pontos: 1,0 / 1,0 Qual o nome do ataque que tem o intuito de enviar uma quantidade em "massa" de e-mails muitas das vezes indesejáveis ? Rootkit Spyware Backdoor Spam Adware Gabarito Comentado. 10a Questão (Ref.: 201402853622) Pontos: 1,0 / 1,0 Ataques a sistemas de computação são tipos de crimes virtuais que visam, entre outras coisas, obter informações que se encontram em sistemas alheios. Crimes dos quais todos os internautas e empresas correm o risco de sofrer, mas que nem sempre sabem exatamente o que são, como agem e quais danos podem vir a causar aos computadores e sistemas. Qual dos itens abaixo "não" pertence ao ciclo de um ataque: Quebra de sigilo bancário. Camuflagem das evidências. Levantamento das informações. Exploração das informações. Obtenção do acesso.
Continue navegando
Materiais relacionados
95 pág.
78 pág.
37 pág.
32 pág.
Perguntas relacionadas
Compartilhar