GSI_AP_Aulas 1_5

Prévia do material em texto

O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a
utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções
abaixo não se aplica ao conceito de "Informação"?
Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um
mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o
conceito de?
O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja
trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está
relacionado com qual conceito?
Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados
através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a
Segurança da Informação:
Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na
forma como a tecnologia da informação tem apóiado as operações das empresas, qual das opções
abaixo não é verdadeira quando tratamos do conceito de ¿Informação¿ ?
1.
É dado trabalhado, que permite ao executivo tomar decisões;
  É a matéria­prima para o processo administrativo da tomada de decisão;
  Por si só não conduz a uma compreensão de determinado fato ou situação;
Pode habilitar a empresa a alcançar seus objetivos estratégicos;
Possui valor e deve ser protegida;
2.
Risco.
Ameaça.
Valor.
  Vulnerabilidade.
Impacto.
3.
Risco.
Vulnerabilidade.
  Ameaça.
Valor.
Impacto.
 Gabarito Comentado
4.
Tudo aquilo que não possui valor específico.
  Tudo aquilo que tem valor para a organização.
Tudo aquilo que é utilizado no Balanço Patrimonial.
Tudo aquilo que a empresa usa como inventario contábil.
Tudo aquilo que não manipula dados.
5.
  Deve ser disponibilizada sempre que solicitada.
É necessário disponibilizá­la para quem tem a real necessidade de conhecê­la.
  É fundamental proteger o conhecimento gerado.
A informação é vital para o processo de tomada de decisão de qualquer corporação.
A segurança da informação diz respeito à proteção de determinados dados, com a intenção de
preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas
propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor este
princípio:
Pode conter aspectos estratégicos para a Organização que o gerou.
 Gabarito Comentado
6.
 
Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para
um usuário, entidade, sistema ou processo autorizado e aprovado.
Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, sistemas ou
processos autorizados e aprovados, não deveriam ser passíveis de cancelamento posterior.
Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira
não autorizada e aprovada.
Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou
ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados.
Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou processos.
 FINALIZAR AVALIANDO O APRENDIZADO 
Legenda:      Questão não respondida     Questão não gravada     Questão gravada
9RFr�HVWi�DQDOLVDQGR�XP�GRFXPHQWR�H�SUHFLVD�YHULILFDU�VH�RV�GDGRV�HVWmR�FRUUHWRV��4XDO�DVSHFWR�GH�VHJXUDQoD�GD
LQIRUPDomR�VREUH�FRQILDELOLGDGH�YRFr�HVWi�YHULILFDQGR"
0DULD�WUDEDOKD�QD�ILOLDO�GH�6mR�3DXOR�GD�HPSUHVD�$%&�H�QHFHVVLWD�WUDQVPLWLU�XP�DUTXLYR�SDUD�3HGUR�TXH�WUDEDOKD�QD
ILOLDO�GH�%HOpP��$SyV�UHFHEHU�R�DUTXLYR�WUDQVPLWLGR�SRU�0DULD��3HGUR�YHULILFRX�TXH�R�DUTXLYR�SRVVXLD�XP�WDPDQKR
PDLRU�GR�TXH�TXDQGR�0DULD�LQLFLRX�D�WUDQVPLVVmR��1HVWH�FDVR�KRXYH�XPD�IDOKD�QD�VHJXUDQoD�GD�LQIRUPDomR
UHODFLRQDGD�j�
6HJXQGR�RV�SULQFtSLRV�GD�6HJXUDQoD�GD�,QIRUPDomR��TXDO�GDV�RSo}HV�DEDL[R�UHSUHVHQWD�PHOKRU�R�FRQFHLWR�GH
¢$WLYR�GH�,QIRUPDomR¢"
&RQVLGHUH�XP�VLVWHPD�QR�TXDO�H[LVWH�XP�FRQMXQWR�GH�LQIRUPDo}HV�GLVSRQtYHO�SDUD�XP�GHWHUPLQDGR�JUXSR�GH
XVXiULRV�GHQRPLQDGRV�¢DXGLWRUHV¢��8P�XVXiULR�GH�XP�RXWUR�JUXSR��R�JUXSR�¢HVWXGDQWH¢��WHQWD�DFHVVDU�R�VLVWHPD
HP�EXVFD�GH�XPD�LQIRUPDomR�TXH�VRPHQWH�R�JUXSR�¢DXGLWRUHV¢�WHP�DFHVVR�H�FRQVHJXH��1HVWH�FDVR�KRXYH�XPD
IDOKD�QD�VHJXUDQoD�GD�LQIRUPDomR�SDUD�HVWH�VLVWHPD�QD�SURSULHGDGH�UHODFLRQDGD�j�
8P�IDWRU�LPSRUWDQWH�HP�XP�SURFHVVR�GH�FODVVLILFDomR�GD�LQIRUPDomR�p�R�QtYHO�GH�DPHDoD�FRQKHFLGR�TXH�FDGD
LQIRUPDomR�WHP��4XDQGR�XPD�LQIRUPDomR�p�FODVVLILFDGD�FRPR�S~EOLFD��SRGHQGR�VHU�XWLOL]DGD�SRU�WRGRV�VHP�FDXVDU
GDQRV�j�RUJDQL]DomR��SRGHPRV�DILUPDU�TXH�HOD�SRVVXL�TXDO�QtYHO�GH�VHJXUDQoD"
1.
/HJDOLGDGH
3ULYDFLGDGH
'LVSRQLELOLGDGH
1mR�UHS~GLR
� ,QWHJULGDGH
�Gabarito Comentado
2.
1mR�5HS~GLR�
&RQILGHQFLDOLGDGH�
� ,QWHJULGDGH�
$XGLWRULD�
� $XWHQWLFLGDGH�
�Gabarito Comentado
3.
6mR�DTXHOHV�TXH�SURGX]HP��SURFHVVDP��UH~QHP�RX�H[S}HP�LQIRUPDo}HV�
6mR�DTXHOHV�TXH�RUJDQL]DP��SURFHVVDP��SXEOLFDP�RX�GHVWURHP�LQIRUPDo}HV�
� 6mR�DTXHOHV�TXH�SURGX]HP��SURFHVVDP��WUDQVPLWHP�RX�DUPD]HQDP�LQIRUPDo}HV�
6mR�DTXHOHV�TXH�FRQVWURHP��GmR�DFHVVR��WUDQVPLWHP�RX�DUPD]HQDP�LQIRUPDo}HV�
6mR�DTXHOHV�WUDWDP��DGPLQLVWUDP��LVRODP�RX�DUPD]HQDP�LQIRUPDo}HV�
4.
� &RQILGHQFLDOLGDGH�
'LVSRQLELOLGDGH�
$XGLWRULD�
,QWHJULGDGH�
1mR�5HS~GLR�
5.
6HFUHWD�
� ,UUHVWULWR�
&RQILGHQFLDO�
&RPR�TXDOTXHU�EHP�RX�UHFXUVR�RUJDQL]DFLRQDO��D�LQIRUPDomR�WDPEpP�SRVVXL�VHX�FRQFHLWR�GH�YDORU�HVWi�DVVRFLDGR�D
XP�FRQWH[WR��$�LQIRUPDomR�WHUi�YDORU�HFRQ{PLFR�SDUD�XPD�RUJDQL]DomR�VH�HOD�JHUDU�OXFURV�RX�VH�IRU�DODYDQFDGRUD
GH�YDQWDJHP�FRPSHWLWLYD��FDVR�FRQWUiULR�SRGHUi�WHU�SRXFR�RX�QHQKXP�YDORU��6HJXQGR�RV�FRQFHLWRV�GD�6HJXUDQoD
GD�,QIRUPDomR��RQGH�GHYHPRV�SURWHJHU�DV�LQIRUPDo}HV"
$V�RSo}HV��D��H��F��HVWmR�FRUUHWDV�
,QWHUQD�
6.
1DV�9XOQHUDELOLGDGHV�
� 1DV�9XOQHUDELOLGDGHV�H�$PHDoDV�
1RV�5LVFRV�
� 1RV�$WLYRV��
1DV�$PHDoDV�
�Gabarito Comentado
�FINALIZAR AVALIANDO O APRENDIZADO�
Observe a figura acima e complete corretamente a legenda dos desenhos:
 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da
informação, de acordo com a ABNT NBR ISO/IEC 27005.
Ataque ao site do IBGE ­ Jun de 2011. O site do IBGE foi atacado e seu site posteriormente
ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo
vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell".
Foi um ataque orquestrado, não só para este site mas para varias instituições
governamentais, acredita­se que foram utilizados mais de 2 bilhões de acesso no caso foi
utilizado um Denial­of service.. O banco de dados IBGE não foi afetado, o portal é mais
informativo, não comprometendo aos dados internos e criticos que não devem ser
divulgados. Qual você acha que foi a vulnerabilidade para este ataque?
1.
Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos
  Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos
  Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios
Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios
Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios
 Gabarito Comentado
2.
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente
estabelecido.
As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de
riscos.
  O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundasde ameaças de origem
humana.
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de
incidentes de segurança.
 Gabarito Comentado
3.
Vulnerabilidade Comunicação
Vulnerabilidade Mídias
Vulnerabilidade Natural
Vulnerabilidade Física
  Vulnerabilidade Software
 Gabarito Comentado
No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a
justificativa de defender a liberdade de expressão. Seus integrantes lançaram ataques de
negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As
companhias sofreram represália por terem negado hospedagem, bloqueado recursos
financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo vazamento de
mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a
vulnerabilidade neste ataque?
As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que
operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de
profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google
afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e­mail de
ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos
jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para
contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque?
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém
fortemente articulado pelas redes, onde a informação, independente do seu formato. Uma
vez identificados quais os riscos que as informações estão expostas deve­se imediatamente
iniciar um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável
de segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas
as informações devam estar guardadas de forma segura. Neste contexto como podemos
definir o que são vulnerabilidades:
4.
  Vulnerabilidade de Software
Vulnerabilidade Física
Vulnerabilidade Mídia
Vulnerabilidade Natural
  Vulnerabilidade de Comunicação
 Gabarito Comentado
5.
Vulnerabilidade Comunicação
Vulnerabilidade Física
Vulnerabilidade Natural
Vulnerabilidade Mídia
  Vulnerabilidade de Software
6.
É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados
através da utilização de SQL.
São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos,
tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc.
Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões,
criadores e disseminadores de vírus de computadores, incendiários.
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou
confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado
a computadores ou informações.
 
Pontos fracos em que os ativos estão suscetíveis a ataques ­ fatores negativos internos. Permitem o
aparecimento de ameaças potenciais à continuidade dos negócios das organizações.
Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se
concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo
assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na
organização são consideradas:
Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código
malicioso ou Malware ?
As ameaças aproveitam das falhas de segurança da organização, que é considerado
como ponto fraco, provocando possíveis danos, perdas e prejuízos aos negócios da
empresa. Elas são constantes podendo acontecer a qualquer momento. Portanto é
necessário conhecer profundamente qualquer tipo de vulnerabilidades para que não
sejam comprometidos os princípios que se refere à segurança da informação. Quanto a
sua intencionalidade elas podem ser classificadas como:
O que são exploits?
1.
  Medidas Preventivas
Medidas Perceptivas
Métodos Detectivos
Medidas Corretivas e Reativas
Métodos Quantitativos
 Gabarito Comentado
2.
  active­x
trojan horse
keyloggers
rootkit
worm
3.
Físicas, Lógicas e Naturais.
Humanas, Mídias e Comunicação.
Software, Hardware e Firmware.
Comunicação, Físicas e Hardware.
  Naturais, Involuntárias e voluntárias.
 Gabarito Comentado
4.
Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo­se passar por outra
máquina, utilizando a técnica de Spoofing. Quando estas solicitações começarem a ser
respondidas, o sistema alvo será inundado (flood) pelas respostas do servidor.
É um programa auto­replicante, semelhante a um vírus. O vírus infecta um programa e necessita
deste programa hospedeiro para se propagar, o worm é um programa completo e não precisa de
outro programa para se propagar.
São programas utilizados para descobrir as senhas dos usuários. Estes programas geralmente são
muito lentos, pois usam enormes dicionários com o máximo de combinações possíveis de senhas e
ficam testando uma a uma até achar a senha armazenada no sistema
Consiste no software de computador que recolhe a informação sobre um usuário do computador e
transmite então esta informação a uma entidade externa sem o conhecimento ou o consentimento
informado do usuário.
As ameaças propositais causadas por agentes humanos como hackers, invasores,
espiões, ladrões e etc. poderão ser classificadas como:
Os ataques a computadores são ações praticadas por softwares projetados com
intenções danosas. As consequências são bastante variadas, algumas têm como
instrução infectar ou invadir computadores alheios para, em seguida, danificar seus
componentes de hardware ou software, através da exclusão de arquivos, alterando o
funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros
tipos de ataques. Em relação a classificação das ameaças podemos definir como
ameaças involuntárias:
 
São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades
conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são utilizados por pessoas sem
conhecimento da vulnerabilidade.
 Gabarito Comentado
5.
Globalizadas
Destrutivas
Tecnológicas.
Insconsequentes
  Voluntárias
 Gabarito Comentado
6.
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas
comunicações.
 
Danos quase sempre internos ­ são uma das maiores ameaças ao ambiente, podem ser
ocasionados por falha no treinamento, acidentes, erros ou omissões.
Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos
e etc.
  Erros propositais de instalação ou de configuração possibilitando acessos indevidos.
Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e
etc.
Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações
sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e
os serviços que estão sendo executados em cada computador ?
Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a
ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do
sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi
utilizado um ataque de
Recente pesquisa realizada pela ESET no País identificou que 73% das corporações
consultadas foram vítimas de algum incidente relacionado à segurança da informação
nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater
esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos
gestores. Todo ataque seguede alguma forma uma receita nossa conhecida, qual seria
a melhor forma de definir a fase de "Manutenção do acesso" nesta receita:
A empresa Ypisilon foi invadida através do seu sistema de e­commerce. O ataque
ocorreu através do envio de informações inconsistentes para um campo de entrada de
dados da tela principal do sistema. Neste caso, foi utilizado um ataque de:
1.
Ataque de Configuração mal feita
  Ataque para Obtenção de Informações
Ataque á Aplicação
Ataque aos Sistemas Operacionais
Ataques de códigos pré­fabricados
 Gabarito Comentado
2.
Buffer Overflow
Fraggle
Smurf
Fragmentação de Pacotes IP
  SQL Injection
3.
É uma fase preparatória onde o atacante procura coletar o maior número possível de informações
sobre o ¿alvo em avaliação¿ antes do lançamento do ataque.
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento.
Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as
vulnerabilidades encontradas no sistema.
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não
autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização
indevida dos recursos computacionais.
 
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege­
lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits,
backdoors ou trojans.
 Gabarito Comentado
4.
Fraggle
Smurf
  SQL injection
Fragmentação de pacotes IP
Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um
excessivo número de pacotes PING para o domínio de broadcast da rede? Neste tipo de
ataque o endereço de origem utilizado é o endereço IP da vítima desejada, de forma
que todos os hosts do domínio de broadcast irão responder para este endereço IP , que
foi mascarado pelo atacante.
Qual das Opções abaixo representa a ordem correta dos passos que um Atacante
normalmente segue para realizar um Ataque de Segurança :
  Buffer Overflow
 Gabarito Comentado
5.
Shrink Wrap Code
Dumpster Diving ou Trashing
Smurf
Phishing Scan
  Fraggle
 Gabarito Comentado
6.
Obtenção, Exploração, Levantamento, Manutenção e Camuflagem
  Levantamento, Obtenção, Exploração, Manutenção e Camuflagem
Exploração, Levantamento, Obtenção, Manutenção e Camuflagem
Obtenção, Levantamento, Exploração, Manutenção e Camuflagem
  Levantamento, Exploração, Obtenção, Manutenção e Camuflagem
1a Questão (Ref.: 201307349165) 
 Fórum de Dúvidas (1 de 8) Saiba (2) 
 
No contexto da Segurança da Informação, a medida que indica a probabilidade de uma determinada 
ameaça se concretizar, combinada com os impactos que ela trará está relacionada com qual conceito 
de? 
 
 Ameaça. 
 Valor. 
 Vulnerabilidade. 
 Risco. 
 Impacto. 
 
 Gabarito Comentado 
 
 
 
 2a Questão (Ref.: 201307865866) 
 Fórum de Dúvidas (1 de 8) Saiba (2) 
 
Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 
(três) aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança da 
Informação". Quais elementos compõem a tríade da segurança da informação? 
 
 Privacidade, Governabilidade e Confidencialidade 
 Disponibilidade, Privacidade e Segurabilidade 
 Autenticidade, Legalidade e Privacidade 
 Confiabilidade, Integridade e Disponibilidade 
 Integridade, Legalidade e Confiabilidade 
 
 
 
 
 3a Questão (Ref.: 201307349061) 
 Fórum de Dúvidas (1 de 8) Saiba (2) 
 
Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam 
impactar no estudo e implementação de um processo de gestão de segurança em uma organização? 
 
 Ameaça. 
 Impacto . 
 Risco. 
 insegurança 
 Vulnerabilidade. 
 
 
 
 
 4a Questão (Ref.: 201307349143) 
 Fórum de Dúvidas (1 de 8) Saiba (2) 
 
O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja 
trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado 
com qual conceito? 
 
 Ameaça. 
 Vulnerabilidade. 
 Valor. 
 Risco. 
 Impacto. 
 
 Gabarito Comentado 
 
 
 
 5a Questão (Ref.: 201307532239) 
 Fórum de Dúvidas (1 de 8) Saiba (2) 
 
No contexto da segurança da informação as proteções são medidas que visam livrar os ativos de 
situações que possam trazer prejuízos. Neste contexto elas podem ser: 
1) Físicas 
2) Lógicas 
3) Administrativas 
 Analise as questões abaixo e relacione o tipo corretamente: 
( ) Procedimento 
( ) Fechadura 
( ) Firewall 
( ) Cadeado 
( ) Normas 
 
 2, 1, 2, 1, 3 
 2, 2, 1, 3, 1 
 1, 3, 1, 3, 2 
 3, 1, 2, 1, 3 
 3, 2, 1, 2, 3 
 
 
 
 
 6a Questão (Ref.: 201307520870) 
 Fórum de Dúvidas (8) Saiba (2) 
 
Considere um sistema no qual existe um conjunto de informações disponível para um 
determinado grupo de usuários denominados ¿engenheiros¿. Após várias consultas com 
respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao 
grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada 
anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança 
da informação para este sistema na propriedade relacionada à: 
 
 Auditoria 
 Integridade 
 Confidencialidade 
 Disponibilidade 
 Privacidade 
 
 
1a Questão (Ref.: 201307532242) 
 Fórum de Dúvidas (1) Saiba (0) 
 
O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela 
informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos 
físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que por sua vez, 
mantêm a operação da empresa. Estes momentos são denominados: 
 
 Iniciação, processamento, utilização e remoção 
 Criação, compartilhamento, utilização e descarte 
 Manuseio, transporte, compartilhamento e remoção 
 Manuseio, armazenamento, transporte e descarte 
 Criação, utilização, armazenamento e compartilhamento 
 
 Gabarito Comentado 
 
 
 
 2a Questão (Ref.: 201307346441) 
 Fórum de Dúvidas (1) Saiba (0) 
 
O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos 
últimos anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de 
administração desses dados de forma confiável. Neste contexto qual das opções abaixo poderá 
definir melhor o conceito de ¿Dado¿? 
 
 Elemento identificado em sua forma trabalhada que por si só não conduz a uma 
compreensão de determinado fato ou situação 
 Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões de 
fatos ou situações. 
 Elemento identificado em sua forma trabalhada e que por si só conduz a várias 
compreensões de fatos e situações. 
 Elemento não identificado e que por si só não conduz a uma compreensão de determinado 
fato ou situação. 
 Elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão 
de determinado fato ou situação. 
 
 Gabarito Comentado 
 
 
 
 3a Questão (Ref.: 201307349202) 
 Fórum de Dúvidas (1) Saiba (0) 
 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . 
Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído 
às informações para as organizações quando tratamos de Segurança da Informação? 
 
 Valor de orçamento. 
 Valor de uso. 
 Valor de propriedade. 
 Valor de restrição. 
 Valor de troca. 
 
 GabaritoComentado 
 
 
 
 4a Questão (Ref.: 201307349241) 
 Fórum de Dúvidas (1) Saiba (0) 
 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor 
está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar 
lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum 
valor. Segundo os conceitos da Segurança da Informação, onde devemos proteger as informações? 
 
 Nos Riscos. 
 Nas Ameaças. 
 Nas Vulnerabilidades. 
 Nos Ativos . 
 Nas Vulnerabilidades e Ameaças. 
 
 Gabarito Comentado 
 
 
 
 5a Questão (Ref.: 201307349236) 
 Fórum de Dúvidas (1) Saiba (0) 
 
A informação também possui seu conceito de valor e que está associado a um contexto, podendo 
gerar lucros ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum 
valor. Qual das opções abaixo apresenta os quatro aspectos importantes para a classificação das 
informações? 
 
 Confidencialidade, vulnerabilidade, disponibilidade e valor. 
 Confiabilidade, integridade, risco e valor. 
 Confiabilidade, integridade, vulnerabilidade e valor. 
 Confidencialidade, integridade, disponibilidade e valor. 
 Confidencialidade, integridade, disponibilidade e vulnerabilidade . 
 
 Gabarito Comentado 
 
 
 
 6a Questão (Ref.: 201307349206) 
 Fórum de Dúvidas (1) Saiba (0) 
 
Um fator importante em um processo de classificação da informação é o nível de ameaça 
conhecido que cada informação tem . Quando uma informação é classificada como 
aquela que a organização não tem interesse em divulgar, cujo acesso por parte de 
indivíduos externos a ela deve ser evitado, porém caso seja disponibilizada não causará 
danos sérios à organização, podemos afirmar que ela possui qual nível de segurança? 
 
 Irrestrito. 
 Interna. 
 Secreta. 
 Pública Confidencial. 
 Confidencial. 
 
 
1a Questão (Ref.: 201307515571) 
 Fórum de Dúvidas (4) Saiba (0) 
 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas 
vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, 
burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito 
ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplos de 
Vulnerabilidade Física: 
 
 Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 
 Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de 
fabricação. 
 Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a 
instalação. 
 Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de 
energia). 
 Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de 
informações, perda de dados ou indisponibilidade de recursos quando necessários. 
 
 Gabarito Comentado 
 
 
 
 2a Questão (Ref.: 201307552572) 
 Fórum de Dúvidas (4) Saiba (0) 
 
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente 
articulado pelas redes, onde a informação, independente do seu formato. Uma vez identificados 
quais os riscos que as informações estão expostas deve-se imediatamente iniciar um processo de 
segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em 
nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar guardadas 
de forma segura. Neste contexto como podemos definir o que são vulnerabilidades: 
 
 São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, 
tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. 
 Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. 
Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das 
organizações. 
 É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de 
dados através da utilização de SQL. 
 Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, 
ladrões, criadores e disseminadores de vírus de computadores, incendiários. 
 Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade 
ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não 
autorizado a computadores ou informações. 
 
 
 
 
 3a Questão (Ref.: 201307552578) 
 Fórum de Dúvidas (4) Saiba (0) 
 
Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a 
informação, não acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará 
evitando como também prevenindo a concretização de possíveis ameaças. Baseado neste fato 
podemos denominar como Vulnerabilidade Física: 
 
 Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de 
energia). 
 Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, 
furto, assalto, destruição de propriedades ou de dados, invasões, guerras, etc.). 
 Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de 
temperatura). 
 Acessos não autorizados ou perda de comunicação e a ausência de sistemas de criptografia 
nas comunicações. 
 Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas. 
 
 Gabarito Comentado 
 
 
 
 4a Questão (Ref.: 201307532243) 
 Fórum de Dúvidas (4) Saiba (0) 
 
 
Observe a figura acima e complete corretamente a legenda dos desenhos: 
 
 
 Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios 
 Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios 
 Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios 
 Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos 
 Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos 
 
 Gabarito Comentado 
 
 
 
 5a Questão (Ref.: 201307515605) 
 Fórum de Dúvidas (1 de 4) Saiba (0) 
 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas 
vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, 
burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito 
ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de 
Vulnerabilidade de Hardware: 
 
 Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de 
energia). 
 Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 
 Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a 
instalação. 
 Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de 
fabricação. 
 Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de 
criptografia nas comunicações. 
 
 Gabarito Comentado 
 
 
 
 6a Questão (Ref.: 201307515609) 
 Fórum de Dúvidas (1 de 4) Saiba (0) 
 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas 
vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, 
burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito 
ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de 
Vulnerabilidade de Software: 
 
 Radiação eletromagnéticapode afetar diversos tipos de mídias magnéticas ou erro de 
fabricação. 
 Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de 
informações, perda de dados ou indisponibilidade de recursos quando necessários. 
 Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de 
energia). 
 Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a 
instalação. 
 Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 
 
 
 
 
 
1a Questão (Ref.: 201307910387) 
 Fórum de Dúvidas (1) Saiba (0) 
 
Analise as seguintes afirmativas sobre ameaças à Segurança da Informação: 
 
I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa 
desejado pelo usuário, com o objetivo de obter dados não autorizados do usuário. 
 
II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se propagar 
de um computador para outro. 
 
III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de 
remetentes falsos. 
 
Estão CORRETAS as afirmativas: 
 
 I e II, apenas. 
 I e III, apenas. 
 II e III, apenas. 
 II apenas 
 I, II e III. 
 
 Gabarito Comentado 
 
 
 
 2a Questão (Ref.: 201307346048) 
 Fórum de Dúvidas (1) Saiba (0) 
 
Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou 
diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de 
um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: 
 
 Medidas Perceptivas 
 Medidas Corretivas e Reativas 
 Medidas Preventivas 
 Métodos Quantitativos 
 Métodos Detectivos 
 
 Gabarito Comentado 
 
 
 
 3a Questão (Ref.: 201307345974) 
 Fórum de Dúvidas (1) Saiba (0) 
 
As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e 
etc. poderão ser classificadas como: 
 
 Voluntárias 
 Destrutivas 
 Insconsequentes 
 Tecnológicas. 
 Globalizadas 
 
 Gabarito Comentado 
 
 
 
 4a Questão (Ref.: 201307345949) 
 Fórum de Dúvidas (1) Saiba (0) 
 
Um tipo de software especificamente projetado para apresentar propagandas, seja através de um 
browser, seja através de algum outro programa instalado em um computador pode ser descrito como 
sendo um: 
 
 Worm 
 Active-x 
 Spyware 
 Java Script 
 Adware 
 
 Gabarito Comentado 
 
 
 
 5a Questão (Ref.: 201307993133) 
 Fórum de Dúvidas (1) Saiba (0) 
 
Com relação as ameaças aos sistema de informação, assinale a opção correta: 
 
 Bot é um programa capaz de se propagar, automaticamente, por rede, pois envia cópias de si 
mesmo de computador para computador, por meio de execução direta ou por exploração 
automática das vulnerabilidades existentes em programas instalados em computadores. 
 Backdoor é um programa que permite o acesso de uma máquina a um invasor de computador, 
pois assegura a acessibilidade a essa máquina em modo remoto, sem utilizar, novamente, os 
métodos de realização da invasão. 
 Vírus é um programa que monitora as atividades de um sistema e envia informações relativas 
a essas atividades para terceiros. Um exemplo é o vírus keylogger que é capaz de armazenar 
os caracteres digitados pelo usuário de um computador. 
 Worm é um programa ou parte de um programa de computador, usualmente malicioso, que se 
propaga ao criar cópias de si mesmo e, assim, se torna parte de outros programas e arquivos. 
 Spyware é um programa que permite o controle remoto do agente invasor e é capaz de se 
propagar automaticamente, pois explora vulnerabilidades existentes em programas instalados 
em computadores. 
 
 
 
 
 6a Questão (Ref.: 201307532246) 
 Fórum de Dúvidas (1 de 1) Saiba (0) 
 
As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a 
sua intencionalidade: 
 
 Intencional, presencial e remota 
 Intencional, proposital e natural 
 Natural, voluntária e involuntária 
 Voluntária, involuntária e intencional 
 Natural, presencial e remota 
 
 
1. 
 
 
Recente pesquisa realizada pela ESET no País identificou que 73% das 
corporações consultadas foram vítimas de algum incidente relacionado à 
segurança da informação nos últimos meses, o que sugere falhas nas 
políticas e ferramentas voltadas a combater esse tipo de problema, ao 
mesmo tempo em que exige uma reflexão urgente dos gestores. Todo 
ataque segue de alguma forma uma receita nossa conhecida, qual seria a 
melhor forma de definir a fase de "Manutenção do acesso" nesta receita: 
 
 
 
 
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá 
também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ 
obtidos através de rootkits, backdoors ou trojans. 
 
É uma fase preparatória onde o atacante procura coletar o maior número possível de 
informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. 
 
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos 
não autorizados com o objetivo de prolongar sua permanência na máquina 
hospedeira, na utilização indevida dos recursos computacionais. 
 
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de 
reconhecimento. 
 
Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são 
exploradas as vulnerabilidades encontradas no sistema. 
 
 Gabarito Comentado 
 
 
2. 
 
 
Na categoria de software malicioso (malware), assinale a alternativa que 
identifica uma ameaça que consiste no envio de uma mensagem não-
solicitada, que procura induzir o destinatário a fornecer dados pessoais ou 
financeiros, tais como senhas, número do CPF e número da conta-
corrente. 
 
 
 
 
Hoaxes (boatos) 
 
Cavalo de troia 
 
Phishing 
 
Vírus de boot 
 
Keylogger (espião de teclado) 
 
 Gabarito Comentado 
 
 
3. 
 
 
Após o crescimento do uso de sistemas de informação, comércio 
eletrônico e tecnologia digital as empresas se viram obrigadas a pensar 
na segurança de suas informações para evitar ameaças e golpes. Assim, 
a segurança da informação surgiu para reduzir possíveis ataques aos 
sistemas empresariais e domésticos. Resumindo, a segurança da 
informação é uma maneira de proteger os sistemas de informação contra 
diversos ataques, ou seja, mantendo documentações e arquivos. 
Podemos citar como ítens básicos, reconhecidos, de um ataque a 
sistemas de informação: 
 
 
 
 
Scaming de protocolos, Pedido de informações e Invasão do sistema. 
 
Engenharia Social, Invasão do sistema e Alteração das informções. 
 
Levantamento das informações, Exploração das informações e Obtenção do acesso. 
 
Estudo do atacante, Descoberta de informações e Formalização da invasão. 
 
Adequação das informações, Pressão sobre os funcionários e Descoberta de senhas. 
 
 
 
4. 
 
 
Um dos principais tipos de ataques à Segurança das informações funciona 
da seguinte forma: O ataque explora a metodologia de estabelecimento 
de conexões do protocoloTCP, baseado no three-way-handshake. Desta 
forma um grande número de requisições de conexão (pacotes SYN) é 
enviando, de tal maneira que o servidor não seja capaz de responder a 
todas elas. A pilha de memória sofre então um overflow e as requisições 
de conexões de usuários legítimos são, desta forma, desprezadas, 
prejudicando a disponibilidade do sistema.. Qual seria este ataque: 
 
 
 
 
Fraggle. 
 
Ip Spoofing. 
 
Port Scanning. 
 
Packet Sniffing.Syn Flooding. 
 
 
 
5. 
 
Recente pesquisa realizada pela ESET no País identificou que 73% das 
corporações consultadas foram vítimas de algum incidente relacionado à 
segurança da informação nos últimos meses, o que sugere falhas nas 
 
 
 
políticas e ferramentas voltadas a combater esse tipo de problema, ao 
mesmo tempo em que exige uma reflexão urgente dos gestores. Todo 
ataque segue de alguma forma uma receita nossa conhecida, qual seria a 
melhor forma de definir a fase de "Levantamento das informações" nesta 
receita: 
 
 
É uma fase preparatória onde o atacante procura coletar o maior número possível de 
informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. 
 
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de 
reconhecimento. 
 
Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são 
exploradas as vulnerabilidades encontradas no sistema. 
 
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá 
também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ 
obtidos através de rootkits, backdoors ou trojans. 
 
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos 
não autorizados com o objetivo de prolongar sua permanência na máquina 
hospedeira, na utilização indevida dos recursos computacionais. 
 
 
 
6. 
 
 
Qual o nome do ataque que tem o intuito de enviar uma quantidade em 
"massa" de e-mails muitas das vezes indesejáveis ? 
 
 
 
 
Spyware 
 
Spam 
 
Rootkit 
 
Backdoor 
 
Adware 
 
 
GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
 
 
 
 
 1a Questão (Ref.: 201308336642) Fórum de Dúvidas (7) Saiba (0) 
 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de 
usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um 
determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma 
informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na 
segurança da informação para este sistema na propriedade relacionada à: 
 
 Disponibilidade 
 
Privacidade 
 Confidencialidade 
 
Auditoria 
 
Integridade 
 
 
 
 
 
 2a Questão (Ref.: 201308164915) Fórum de Dúvidas (7) Saiba (0) 
 
O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos 
diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual conceito? 
 
 
Risco. 
 
Valor. 
 
Vulnerabilidade. 
 
Impacto. 
 Ameaça. 
 
 Gabarito Comentado 
 
 
 
 
 3a Questão (Ref.: 201308331029) Fórum de Dúvidas (7) Saiba (0) 
 
A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus 
respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a 
disponibilidade, qual das definições abaixo expressa melhor este princípio: 
 
 
Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, 
sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de cancelamento 
posterior. 
 
Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou 
processos. 
 
Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de 
maneira não autorizada e aprovada. 
 
Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis 
para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados. 
 Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível 
para um usuário, entidade, sistema ou processo autorizado e aprovado. 
 
 
 
 
 
 4a Questão (Ref.: 201308162212) Fórum de Dúvidas (7) Saiba (0) 
 
Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a 
tecnologia da informação apóia as operações e processos das empresas, qual das opções abaixo poderá ser 
escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo? 
 
 
O crescimento explosivo da venda de computadores e sistemas livres; 
 O crescimento explosivo dos cursos relacionados com a tecnologia da informação; 
 
O Aumento no consumo de softwares licenciados; 
 O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; 
 
O uso da internet para sites de relacionamento; 
 
 
 
 
 
 5a Questão (Ref.: 201308164937) Fórum de Dúvidas (7) Saiba (0) 
 
No contexto da Segurança da Informação, a medida que indica a probabilidade de uma determinada ameaça se 
concretizar, combinada com os impactos que ela trará está relacionada com qual conceito de? 
 
 Risco. 
 
Impacto. 
 Vulnerabilidade. 
 
Valor. 
 
Ameaça. 
 
 Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201308164807) Fórum de Dúvidas (7) Saiba (0) 
 
Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de 
negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma 
empresa. Neste contexto qual o objetivo fundamental da ¿Segurança da Informação¿? 
 
 
Visa principalmente à proteção dos ativos patrimoniais que contêm informações. 
 Visa à proteção de todos os ativos de uma empresa que contêm informações. 
 
Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informações. 
 
Visa à proteção dos equipamentos de uma empresa que contêm informações. 
 
Visam à proteção alguns poucos ativos de uma empresa que contêm informações. 
 
 
 
 1a Questão (Ref.: 201308164830) Fórum de Dúvidas (0) Saiba (0) 
 
Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos objetivos 
de segurança que deseje, normalmente irá utilizar um ou os três princípios considerados como fundamentais 
para atingir os objetivos da Segurança da Informação: 
 
 
Confiabilidade, Disponibilidade e Intencionalidade. 
 Confidencialidade, Disponibilidade e Integridade. 
 
Confidencialidade, Descrição e Integridade. 
 
Confiabilidade, Disponibilidade e Integridade. 
 
Confidencialidade, Indisponibilidade e Integridade. 
 
 
 
 
 
 2a Questão (Ref.: 201308164966) Fórum de Dúvidas (0) Saiba (0) 
 
Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta? 
 
 Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a 
Disponibilidade das Informações. 
 
Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. 
 
Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Probabilidade das Informações. 
 Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Disponibilidade das Informações. 
 
 
 
 
 
 3a Questão (Ref.: 201308164978) Fórum de Dúvidas (0) Saiba (0) 
 
Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada 
informação tem . Quando uma informação é classificada como aquela que a organização não tem interesse em 
divulgar, cujo acesso por parte de indivíduos externos aela deve ser evitado, porém caso seja disponibilizada 
não causará danos sérios à organização, podemos afirmar que ela possui qual nível de segurança? 
 
 Interna. 
 
Secreta. 
 
Pública Confidencial. 
 Confidencial. 
 
Irrestrito. 
 
 
 
 
 
 
 
 4a Questão (Ref.: 201308164972) Fórum de Dúvidas (0) Saiba (0) 
 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de 
usuários denominados ¿auditores¿. Um usuário de um outro grupo, o grupo ¿estudante¿, tenta acessar o 
sistema em busca de uma informação que somente o grupo ¿auditores¿ tem acesso e consegue. Neste caso 
houve uma falha na segurança da informação para este sistema na propriedade relacionada à: 
 
 
Disponibilidade; 
 
Não-Repúdio; 
 
Integridade; 
 Confidencialidade; 
 
Auditoria; 
 
 
 
 
 
 5a Questão (Ref.: 201308164969) Fórum de Dúvidas (0) Saiba (0) 
 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha 
na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um 
tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da 
informação relacionada à: 
 
 
Confidencialidade; 
 
Não-Repúdio; 
 
Autenticidade; 
 
Auditoria; 
 Integridade; 
 
 
 
 
 
 6a Questão (Ref.: 201308164797) Fórum de Dúvidas (0) Saiba (0) 
 
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID 
difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e 
de segurança¿, podemos dizer que: 
 
 
A afirmação é falsa. 
 
A afirmação é somente falsa para as empresas privadas. 
 
A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
 A afirmação é verdadeira. 
 
A afirmação é somente verdadeira para as empresas privadas. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 1a Questão (Ref.: 201308235826) Fórum de Dúvidas (3) Saiba (0) 
 
Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque DDoS 
e foi descrito como o maior já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕES de blogs, 
incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre eles, estão 
inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcançou vários Gigabits por 
segundo e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do 
Wordpress, a investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. 
Qual você acha que foi a vulnerabilidade para este ataque? 
 
 
Vulnerabilidade Natural 
 
Vulnerabilidade Física 
 
Vulnerabilidade Comunicação 
 Vulnerabilidade Software 
 
Vulnerabilidade Mídias 
 
 
 
 
 
 2a Questão (Ref.: 201308235827) Fórum de Dúvidas (3) Saiba (0) 
 
Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, 
antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de 
natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para 
varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi 
utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não 
comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a 
vulnerabilidade para este ataque? 
 
 Vulnerabilidade Comunicação 
 
Vulnerabilidade Mídias 
 Vulnerabilidade Software 
 
Vulnerabilidade Física 
 
Vulnerabilidade Natural 
 
 
 
 
 
 3a Questão (Ref.: 201308679500) Fórum de Dúvidas (3) Saiba (0) 
 
O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que 
chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? 
 
 
Vulnerabilidade 
 Ameaça 
 
Problema 
 
Dependência 
 
Risco 
 
 Gabarito Comentado 
 
 
 
 
 4a Questão (Ref.: 201308668818) Fórum de Dúvidas (3) Saiba (0) 
 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo 
com a ABNT NBR ISO/IEC 27005. 
 
 
As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de 
riscos. 
 O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
 A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente 
estabelecido. 
 
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem 
humana. 
 
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de 
incidentes de segurança. 
 
 Gabarito Comentado 
 
 
 
 
 5a Questão (Ref.: 201308348015) Fórum de Dúvidas (3) Saiba (0) 
 
 
Observe a figura acima e complete corretamente a legenda dos desenhos: 
 
 
 
Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos 
 Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos 
 Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios 
 
Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios 
 
Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios 
 
 
 
 
 
 
 6a Questão (Ref.: 201308235829) Fórum de Dúvidas (3) Saiba (0) 
 
No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a justificativa de defender 
a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal, 
Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado 
hospedagem, bloqueado recursos financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo 
vazamento de mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a 
vulnerabilidade neste ataque? 
 
 
Vulnerabilidade de Comunicação 
 
Vulnerabilidade Mídia 
 Vulnerabilidade de Software 
 
Vulnerabilidade Física 
 
Vulnerabilidade Natural 
 
 
 
 
 
 1a Questão (Ref.: 201308726159) Fórum de Dúvidas (1) Saiba (0) 
 
Analise as seguintes afirmativas sobre ameaças à Segurança da Informação: 
 
I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa desejado pelo 
usuário, com o objetivo de obter dados não autorizados do usuário. 
 
II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se propagar de um 
computador para outro. 
 
III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de remetentes 
falsos. 
 
Estão CORRETAS as afirmativas: 
 
 
II e III, apenas. 
 
I e III, apenas. 
 
II apenas 
 
I e II, apenas. 
 I, II e III. 
 
 Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201308679522) Fórum de Dúvidas (1) Saiba (0) 
 
Na categoria de software malicioso (malware), assinale a alternativa que identifica uma ameaça que consiste no 
envio de uma mensagem não-solicitada, que procura induzir o destinatário a fornecer dados pessoais oufinanceiros, tais como senhas, número do CPF e número da conta-corrente. 
 
 
Cavalo de troia 
 
Vírus de boot 
 
Hoaxes (boatos) 
 Phishing 
 
Keylogger (espião de teclado) 
 
 
 
 
 
 3a Questão (Ref.: 201308161746) Fórum de Dúvidas (1) Saiba (0) 
 
As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. 
poderão ser classificadas como: 
 
 
Destrutivas 
 
Insconsequentes 
 
Globalizadas 
 Tecnológicas. 
 Voluntárias 
 
 Gabarito Comentado 
 
 
 
 
 4a Questão (Ref.: 201308161753) Fórum de Dúvidas (1) Saiba (0) 
 
Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? 
 
 
Passivo 
 
Fraco 
 Ativo 
 
Secreto 
 
Forte 
 
 
 
 
 
 5a Questão (Ref.: 201308161739) Fórum de Dúvidas (1) Saiba (0) 
 
Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? 
 
 Alteração ou destruição de arquivos; 
 
Captura de outras senhas usadas em sites de comércio eletrônico; 
 
Monitoramento de URLs acessadas enquanto o usuário navega na Internet 
 
Captura de senhas bancárias e números de cartões de crédito; 
 
Alteração da página inicial apresentada no browser do usuário; 
 
 
 
 
 
 
 6a Questão (Ref.: 201308161732) Fórum de Dúvidas (1) Saiba (0) 
 
Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua 
origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? 
 
 
Conhecida e Externa 
 
Interna e Oculta 
 Interna e Externa 
 
Secreta e Externa 
 
Secreta e Oculta 
 
 
 
 
 
 
 1a Questão (Ref.: 201308161801) Fórum de Dúvidas (3) Saiba (0) 
 
Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são 
realizados para um ataque de segurança ? 
 
 
O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência. 
 
O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema. 
 
O atacante tenta manter seu próprio domínio sobre o sistema 
 O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação". 
 
O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento 
 
 
 
 
 
 2a Questão (Ref.: 201308161804) Fórum de Dúvidas (3) Saiba (0) 
 
Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes 
PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP 
da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP 
, que foi mascarado pelo atacante. 
 
 
Shrink Wrap Code 
 Phishing Scan 
 
Dumpster Diving ou Trashing 
 
Smurf 
 Fraggle 
 
 Gabarito Comentado 
 
 
 
 
 
 
 
 3a Questão (Ref.: 201308161771) Fórum de Dúvidas (3) Saiba (0) 
 
A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de 
informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi 
utilizado um ataque de: 
 
 
Fraggle 
 Buffer Overflow 
 
Smurf 
 
Fragmentação de pacotes IP 
 SQL injection 
 
 
 
 
 
 4a Questão (Ref.: 201308161795) Fórum de Dúvidas (3) Saiba (0) 
 
Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas 
servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao 
invés da invasão? 
 
 
Source Routing 
 
Phishing Scan 
 
Shrink wrap code 
 DDos 
 
SQL Injection 
 
 
 
 
 
 5a Questão (Ref.: 201308348020) Fórum de Dúvidas (3) Saiba (0) 
 
Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o 
atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. O ataque que tem como objetivo a 
verificação do lixo em busca de informações que possam facilitar o ataque é denominado: 
 
 
SQL Injection 
 
Packet Sniffing 
 
IP Spoofing 
 
Ataque smurf 
 Dumpster diving ou trashing 
 
 
 
 
 
 6a Questão (Ref.: 201308161775) Fórum de Dúvidas (3) Saiba (0) 
 
João e Pedro são administrador de sistemas de uma importante empresa e estão instalando uma nova versão do 
sistema operacional Windows para máquinas servidoras. Durante a instalação Pedro percebeu que existem uma 
série de exemplos de códigos já prontos para serem executados, facilitando assim o trabalho de administração 
do sistema. Qual o tipo de ataque que pode acontecer nesta situação? 
 
 
Dumpster Diving ou Trashing 
 Shrink Wrap Code 
 
Fraggle 
 
Smurf 
 
Phishing Scan 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Simulado 
 
 1a Questão (Ref.: 201308242472) 
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque 
de Buffer Overflow? 
 
Resposta: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que 
interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante 
consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das 
entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que 
espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o 
padrão de entrada de dados. 
 
 
 2a Questão (Ref.: 201308242466) 
Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança é um 
aspecto importante na identificação de medidas adequadas de segurança. Qual a diferença entre análise de 
vulnerabilidade, teste de vulnerabilidade e pesquisa de vulnerabilidade? 
 
Resposta: Análise vulnerabilidade: Verificar a existência de falhas de segurança no ambiente de TI das 
empresas. Teste de vulnerabilidade: Determinação de que falhas de segurança podem ser aplicadas à máquina 
ou rede alvo. Pesquisa de vulnerabilidade: Significa descobrir as falhas e deficiência em um produto ou aplicação 
que podem comprometer a segurança. 
 
 
 3a Questão (Ref.: 201308162213) Pontos: 1,0 / 1,0 
O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos 
anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração 
desses dados de forma confiável. Neste contexto qual das opções abaixo poderá definir melhor o conceito de 
¿Dado¿? 
 
 
Elemento não identificado e que por si só não conduz a uma compreensão de determinado fato ou 
situação. 
 
Elemento identificado em sua forma trabalhada que por si só não conduz a uma compreensão de 
determinado fato ou situação 
 
Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões de fatos 
ou situações. 
 
Elemento identificado em sua forma trabalhada e que por si só conduz a várias compreensões de 
fatos e situações. 
 Elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de 
determinado fato ou situação. 
 
 
 4a Questão (Ref.:201308714484) Pontos: 0,0 / 1,0 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha 
na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um 
tamanho maior do que quando Maria iniciou a transmissão. Neste caso houve uma falha na segurança da 
informação relacionada à: 
 
 Confidencialidade; 
 Integridade; 
 
Auditoria; 
 
Não-Repúdio; 
 
Autenticidade; 
 Gabarito Comentado. 
 
 
 
 5a Questão (Ref.: 201308162205) Pontos: 1,0 / 1,0 
A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses 
dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do tratamento 
dos Dados para a sua utilização eficaz nas organizações? 
 
 Dado - Informação - Conhecimento 
 
Dado - Conhecimento - Informação 
 
Dado - Informação - Informação Bruta 
 
Dado - Informação - Dados Brutos 
 
Dado - Conhecimento Bruto - Informação Bruta 
 
 
 
 6a Questão (Ref.: 201308164811) Pontos: 0,0 / 1,0 
Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de 
proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? 
 
 Vulnerabilidade. 
 Risco. 
 
Impacto. 
 
Valor. 
 
Ameaça. 
 
 
 
 7a Questão (Ref.: 201308368350) Pontos: 1,0 / 1,0 
Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a informação, não 
acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará evitando como também 
prevenindo a concretização de possíveis ameaças. Baseado neste fato podemos denominar como 
Vulnerabilidade Física: 
 
 
Acessos não autorizados ou perda de comunicação e a ausência de sistemas de criptografia nas 
comunicações. 
 Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas. 
 
Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura). 
 
Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, 
assalto, destruição de propriedades ou de dados, invasões, guerras, etc.). 
 
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). 
 
 
 
 8a Questão (Ref.: 201308368344) Pontos: 1,0 / 1,0 
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas 
redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as 
informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o 
intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao 
ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos 
definir o que são vulnerabilidades: 
 
 
Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, 
criadores e disseminadores de vírus de computadores, incendiários. 
 
São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, 
tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. 
 
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou 
confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a 
computadores ou informações. 
 
É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados 
através da utilização de SQL. 
 Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o 
aparecimento de ameaças potenciais à continuidade dos negócios das organizações. 
 
 
 
 9a Questão (Ref.: 201308331343) Pontos: 0,0 / 1,0 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar 
privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de 
cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a 
Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física: 
 
 Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). 
 Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 
 
Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, 
perda de dados ou indisponibilidade de recursos quando necessários. 
 
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. 
 
Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. 
 Gabarito Comentado. 
 
 
 
 
 10a Questão (Ref.: 201308331377) Pontos: 1,0 / 1,0 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar 
privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de 
cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação 
das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware: 
 
 
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas 
comunicações. 
 
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. 
 Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. 
 
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de 
energia). 
 
Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.