Buscar

GSI_AP_Aulas 6_10

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 3, do total de 35 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 6, do total de 35 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 9, do total de 35 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Prévia do material em texto

13/10/2015 Aluno: DIEGO FERREIRA DE ALMEIDA •
data:text/html;charset=utf­8,%3Ctable%20width%3D%2298%25%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%2… 1/2
Qual o nome do ataque ou maneira de fazer propaganda por meio digitais através de
instalação de jogos, aplicativos e softwares ?
Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção
contra um determinado risco está muito além das possibilidades da organização e
portanto não vale a pena tratá­lo. Neste caso você:
A segurança da informação deve ser vista como algo estratégico dentro da organização.
E a organização deve saber como ela está exposta sobre riscos. Dessa forma, uma
maneira da organização criar um plano de gestão voltado para riscos é criando um Plano
de Gestão de Risco (PGI). O PGI é composto por 4 fases, quais são elas?
Qual o nome do processo malicioso que tem o intuito de infectar uma ou várias
máquinas e utilizá­las posteriormente como máquinas para destinar um ataque que seja
o alvo do atacante ?
1.
Backdoor
Spyware
Trojan
Rootkit
  Adware
 Gabarito Comentado
2.
  Aceita o risco
Trata o risco a qualquer custo
Rejeita o risco
Comunica o risco
Ignora o risco
 Gabarito Comentado
3.
Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; Mapeamento
de impacto
  Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco
  Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco
Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco
Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades;
Comunicação do impacto
 Gabarito Comentado
4.
Spyware
Spammer
  Bot/Botnet
Rootkit
Phishing
13/10/2015 Aluno: DIEGO FERREIRA DE ALMEIDA •
data:text/html;charset=utf­8,%3Ctable%20width%3D%2298%25%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%2… 2/2
Qual o nome da técnica/ataque ou maneira de identificar trafego de dados que "passam"
em uma rede de computadores ?
Qual das opções abaixo representa o tipo de ação quando observamos que o custo de
proteção contra um determinado risco não vale a pena ser aplicado:
 Gabarito Comentado
5.
Spyware
Monitor
  Sniffer
DoS
Keylogger
 Gabarito Comentado
6.
Garantia do Risco
  Aceitação do Risco
Monitoramento do Risco
Recusar o Risco
Comunicação do Risco
14/10/2015 Aluno: DIEGO FERREIRA DE ALMEIDA •
data:text/html;charset=utf­8,%3Ctable%20width%3D%2298%25%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%2… 1/2
A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da
informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é
a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto,
e de acordo com a Norma, um exemplo de ativo do tipo intangível é
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança
da informação.
A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que
tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e
melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de
Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio:
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares?
1.
O plano de continuidade do negócio.
  A reputação da organização
A base de dados e arquivos
O equipamento de comunicação
O serviço de iluminação
2.
Aceitar ou reter um risco durante o seu tratamento equivale a transferi­lo.
 
Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas
após a aceitação do plano de tratamento do risco pelos gestores da organização.
  A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
Os riscos residuais são conhecidos antes da comunicação do risco.
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
 Gabarito Comentado
3.
A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam
suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de
furto ou roubo, fraude ou mau uso dos recursos.
Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências
com as instalações e informações da organização.
São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização,
seus parceiros comerciais, contratados e provedores de serviço tem que atender.
Uma orientação de como a organização deve proceder para estabelecer a política de segurança da
informação.
 
É o conjunto de princípios e objetivos para o processamento da informação que uma organização
tem que desenvolver para apoiar suas operações.
 Gabarito Comentado
4.
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos
requisitos da norma NBR ISO/IEC 27001.
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma
NBR ISO/IEC 27001.
 
Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da
norma NBR ISO/IEC 27001.
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da
norma NBR ISO/IEC 27001.
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da
norma NBR ISO/IEC 27001.
14/10/2015 Aluno: DIEGO FERREIRA DE ALMEIDA •
data:text/html;charset=utf­8,%3Ctable%20width%3D%2298%25%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%2… 2/2
Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas.
1) Comitê de segurança da informação. 
2) Controle. 
3) Funções de software e hardware. 
4) Deve ser analisado criticamente. 
5) Política.
( ) Controle. 
( ) Firewall. 
( ) estrutura organizacional. 
( ) Permissão de acesso a um servidor. 
( ) Ampla divulgação das normas de segurança da informação.
A combinação correta entre as duas colunas é:
A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem
avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar,
implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em
relação a Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação
de riscos levando­se em conta os objetivos e _________________ globais da organização são
identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de
ocorrência das ____________ e do impacto potencial ao negócio.
 Gabarito Comentado
5.
1­2­4­3­5.
4­3­5­2­1.
5­1­4­3­2.
  4­3­1­2­5.
2­3­1­5­4.
 Gabarito Comentado
6.
determinações, ações
oportunidades, vulnerabilidades
  estratégias, ameaças
oportunidades, ações
especulações, ameaças
15/10/2015 Aluno: DIEGO FERREIRA DE ALMEIDA •
data:text/html;charset=utf­8,%3Ctable%20width%3D%2298%25%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%2… 1/2
A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente
associado a que tipo de proteção ?
O SGSI torna­se pré­requisito à ser implementado em ambientes corporativos, educacionais,
industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que
criam, manipulam ou destroem informações relevantes. O sistemaserá informatizado, caso seja
necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação
(SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons
softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan­Do­Check­Act. Podemos dizer que
a empresa deve implementar na etapa Do:
No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como
um Problema de Segurança:
Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a
norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve
Monitorar e Analisar criticamente o SGSI, que compreende a atividade de:
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma
são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que
são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização:
1.
Recuperação .
Reação.
Correção.
  Limitação.
  Preventiva.
2.
 
A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando
não burocratizar o funcionamento das áreas.
Selecionar objetivos de controle e controles para o tratamento de riscos.
O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e
tecnologia.
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos
resultados de processamento e identificar os incidentes de segurança da informação.
A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações
preventivas e corretivas necessárias para o bom funcionamento do SGSI.
3.
Uma tempestade.
Uma inundação.
  Restrição Financeira.
Uma Operação Incorreta ou Erro do usuário.
A perda de qualquer aspecto de segurança importante para a organização.
4.
Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades
prevalecentes
Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
Definir e medir a eficácia dos controles ou grupos de controle selecionados.
 
Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise
crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do
contexto dos riscos de negócio da organização.
5.
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas
15/10/2015 Aluno: DIEGO FERREIRA DE ALMEIDA •
data:text/html;charset=utf­8,%3Ctable%20width%3D%2298%25%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%2… 2/2
Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de
segurança da informação?
  Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela
direção e Melhoria do SGSI
Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de
risco.
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da
informação.
 Gabarito Comentado
6.
Suporte técnico.
Segregação de funções.
Auditoria.
Procedimentos elaborados.
  Conscientização dos usuários.
 Gabarito Comentado
Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que:
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário
determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida:
Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)?
Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade
com as orientações da norma citada?
1.
As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas
  As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas
As metas e objetivos definidos sejam comprometidos por interrupções inesperadas
As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas
As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas
2.
  A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos.
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos.
A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
3.
O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca­se na continuidade para todos os
processos.
O PRD é mais abrangente que o PCN.
O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação.
  O PCN foca­se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados.
O PCN só pode ser implementado se o PRD já tiver em uso.
4.
Tomar controle da situação
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de
organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas
necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Determinando a Estratégia"?
Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado.
Neste caso Pedro está utilizado qual propriedade de segurança?
  Afastar o incidente do cliente
Controlar o incidente
Comunicar­se com as partes interessadas
Confirmar a natureza e extensão do incidente
 Gabarito Comentado
5.
 
Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e
a urgência das atividades que são necessárias para fornecê­los.
Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de
negócio deverá torna­se parte dos valores da organização, através da sua inclusão na cultura da empresa.
O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de
incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter
ou restaurar as operações.
 
Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus
produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos.O GCN deverá ser testado, mantido, analisado
criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
 Gabarito Comentado
6.
Integridade;
Não­Repúdio;
Auditoria;
  Autenticidade;
Confidencialidade;
 Gabarito Comentado
Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente físico e, até mesmo uma equipe de
funcionários, a empresa deverá selecionar a estratégia de contingência que melhor conduza o objeto a operar sob um nível de risco
controlado. Nas estratégias de contingência possíveis de implementação, qual a estratégia que está pronta para entrar em operação assim
que uma situação de risco ocorrer?
Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você
desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento
periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar:
A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo (inseguro), é conhecida
como:
1.
Cold­site
  Hot­site
Realocação de operação
Warm­site
Acordo de reciprocidade
 Gabarito Comentado
2.
Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall
  Um sniffer de rede, para analisar o tráfego da rede
Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede
Um analisador de protocolo para auxiliar na análise do tráfego da rede
  Um detector de intrusão para realizar a análise do tráfego da rede
 Gabarito Comentado
3.
wi­fi.
tcp/ip.
backbone.
  zona desmilitarizada (DMZ).
pki.
Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é correto afirmar que?
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é
necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida:
Em relação a firewalls, analise as assertivas abaixo: 
I.Firewalls em estado de conexão mapeiam pacotes e usam campos cabeçalhos TCP/IP para cuidar da conectividade. 
II.Firewalls podem implementar gateways em nível de aplicação que examinam os pacotes por dentro, além do cabeçalho TCP/IP, para ver o
que a aplicação está fazendo. 
III. Um problema fundamental com firewalls é que eles oferecem um único perímetro de defesa, o qual, se rompido, deixará comprometida
toda a segurança. 
É correto o que se afirma em :
4.
A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a mesma chave
A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas chaves
  A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave
A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes
A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes
5.
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos.
A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
  A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos.
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
 Gabarito Comentado
6.
II, apenas
  III, apenas
I, apenas
I e II, apenas
  I, II e III
 
Um grupo específico de medidas preventivas é chamado de barreiras de 
segurança, uma barreira corresponde a qualquer obstáculo para prevenir um 
ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste 
sentido podemos definir a barreira "Deter": 
 
 
 
Esta barreira tem um sentido especial de representar a continuidade do processo de 
gestão de segurança da informação. 
 
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que 
suportam o negócio. 
 
Esta é a primeira das barreiras de segurança e cumpre o papel importante de 
desencorajar as ameaças. 
 
Esta barreira trata como importante se cercar de recursos que permitam identificar e 
gerir os acessos, definindo perfis e autorizando permissões. 
 
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , 
alertem e instrumentem os gestores da segurança na detecção de situações de risco. 
 
 
2. 
 
 
Qual o nome do processo malicioso que tem o intuito de infectar uma ou 
várias máquinas e utilizá-las posteriormente como máquinas para 
destinar um ataque que seja o alvo do atacante ? 
 
 
 
Spyware 
 
Bot/Botnet 
 
Phishing 
 
Rootkit 
 
Spammer 
 
 
3. 
 
 
Qual das opções abaixo representa o tipo de Método utilizado para a 
análise e avaliação dos riscos onde são utilizados termos numéricos para 
os componentes associados ao risco. 
 
 
 
Método Numérico. 
 
Método Exploratório. 
 
Método Quantitativo 
 
Método Classificatório 
 
Método Qualitativo 
 
 
 
4. 
 
 
Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um 
site verdadeiro com o intuito de obter informações pessoais de usuários 
de sites da Internet ou site corporativo ? 
 
 
 
Rootkit 
 
Phishing 
 
Spyware 
 
Defacement 
 
Backdoor 
 
 
 
5. 
 
 
É essencial determinar o propósito da gestão de riscos a ser 
implementada na organização, pois ele afeta o processo em geral e a 
definição do contexto em particular. Qual das opções abaixo Não 
representa um destes propósitos? 
 
 
 
Descrição dos requisitos de segurança da informação para um produto. 
 
Preparação de um plano para aceitar todos os Riscos 
 
Preparação de um plano de respostas a incidentes. 
 
Conformidade Legal e a evidência da realização dos procedimentos corretos 
 
Preparação de um plano de continuidade de negócios. 
 
 
 
 
6. 
 
 
Referente ao processo de Gestão de incidentes, quais é a sequência que 
compõem o processo de gestão de incidentes sequencialmente ? 
 
 
Incidente, impacto, ameaça e recuperação 
 
Ameaça, incidente, impacto e recuperação 
 
Impacto, ameaça, incidente e recuperação 
 
Ameaça, impacto, incidente e recuperação 
 
Incidente, recuperação, impacto e ameaça 
 
 
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de 
segurança da informação. 
 
 
Qualquer atividade de comunicação do risco de segurança da informação deve 
ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da 
organização. 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 
A definição do contexto da gestão de riscos deve preceder a identificação dos ativos 
de valor. 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 
 
2. 
 
 
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos 
de segurança da informação. 
 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
 
Aceitarou reter um risco durante o seu tratamento equivale a transferi-lo. 
 
Qualquer atividade de comunicação do risco de segurança da informação deve 
ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da 
organização. 
 
A definição do contexto da gestão de riscos deve preceder a identificação dos ativos 
de valor. 
 
 
 
 
3. 
 
 
A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da 
Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para 
iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma 
organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos 
Legais. Podemos definir como Requisitos do Negócio: 
 
 
A orientação da organização para assegurar que funcionários, fornecedores e 
terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis 
de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. 
 
É o conjunto de princípios e objetivos para o processamento da informação que uma 
organização tem que desenvolver para apoiar suas operações. 
 
Uma orientação de como a organização deve proceder para estabelecer a política de 
segurança da informação. 
 
Determina que a organização deve prevenir o acesso físico não autorizado, danos e 
interferências com as instalações e informações da organização. 
 
São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a 
organização, seus parceiros comerciais, contratados e provedores de serviço tem 
que atender. 
 
 
 
 
4. 
 
 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos 
regulares? 
 
 
Para determinar se os objetivos de risco, processos e incidentes atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos 
atendem aos requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e incidentes atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e procedimentos atendem 
aos requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
 
 
 
5. 
 
 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos 
regulares? 
 
 
Para determinar se os objetivos de controle, processos e incidentes atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de risco, processos e incidentes atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e procedimentos atendem 
aos requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos 
atendem aos requisitos da norma NBR ISO/IEC 27001. 
 
 
 
 
6. 
 
 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da 
Informação onde são definidas as regras de alto nível que representam os princípios 
básicos que a organização resolveu incorporar à sua gestão de acordo com a visão 
estratégica da alta direção? 
 
 
Procedimentos. 
 
Manuais. 
 
Normas. 
 
Diretrizes. 
 
Relatório Estratégico. 
 
 
A utilização de crachás de identificação de colaboradores numa organização 
está fundamentalmente associado a que tipo de proteção ? 
 
 
Recuperação . 
 
Preventiva. 
 
Correção. 
 
Reação. 
 
Limitação. 
 
 
 
2. 
 
 
O SGSI torna-se pré-requisito à ser implementado em ambientes 
corporativos, educacionais, industriais, governamentais e qualquer outro 
que tenha por objetivo resguardar ambientes que criam, manipulam ou 
destroem informações relevantes. O sistema será informatizado, caso 
seja necessário, conforme a peculiaridade de cada negócio (ambiente). 
Pois a Segurança da Informação (SI) é norteada por boas práticas, 
mudança de hábitos e cultura e não apenas definidas por bons softwares 
e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. 
Podemos dizer que a empresa deve implementar na etapa Do: 
 
 
 
A organização deve implementar procedimentos de monitoração e análise crítica 
para detectar erros nos resultados de processamento e identificar os incidentes de 
segurança da informação. 
 
A organização deve implementar e operar a política, controles, processos e 
procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. 
 
A organização deve implementar as melhorias identificadas no SGSI. Deve ainda 
executar as ações preventivas e corretivas necessárias para o bom funcionamento 
do SGSI. 
 
O escopo do SGSI alinhado com as características de negócio, da organização, sua 
localização, ativos e tecnologia. 
 
Selecionar objetivos de controle e controles para o tratamento de riscos. 
 
 
 
3. 
 
 
A certificação de organizações que implementaram a NBR ISO/IEC 27001 
é um meio de garantir que a organização certificada: 
 
 
implementou um sistema para gerência da segurança da informação de acordo 
fundamentado nos desejos de segurança dos Gerentes de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com 
os desejos de segurança dos funcionários e padrões comerciais. 
 
implementou um sistema para gerência da segurança da informação de acordo com 
os padrões de segurança de empresas de maior porte reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com 
os padrões nacionais das empresas de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com 
os padrões e melhores práticas de segurança reconhecidas no mercado 
 
 
 
4. 
 
A empresa XPTO optou como forma de complementar seu projeto de 
Segurança da Informação, a instalação de camêras de vídeo, sendo 
 
algumas falsas, e a utilização de avisos da existência de alarmes, neste 
caso qual o tipo de proteção que está sendo utilizada ? 
 
 
Desencorajamento 
 
Limitação 
 
Correção 
 
Reação 
 
Preventiva 
 
 
 
5. 
 
 
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, 
considere: 
 
I. Cada categoria principal de segurança da informação contém um 
objetivo de controle que define o que deve ser alcançado e um (ou mais) 
controle que pode ser aplicado para se alcançar o objetivo do controle. 
 
II. Especifica os requisitos para estabelecer, implementar, operar, 
monitorar, analisar criticamente, manter e melhorar um SGSI 
documentado dentro do contexto dos riscos de negócio globais da 
organização. 
 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que 
sejam aplicáveis a todas as organizações, independentemente de tipo, 
tamanho e natureza. Qualquer exclusão de controles considerados 
necessários para satisfazer aos critérios de aceitação de riscos precisa ser 
justificada e as evidências de que os riscos associados foram aceitos 
pelas pessoas responsáveis precisam ser fornecidas. 
 
IV. Convém que a análise/avaliação de riscos de segurança da informação 
tenha um escopo claramente definido para ser eficaz e inclua os 
relacionamentos com as análises/avaliações de riscos em outras áreas, se 
necessário. 
 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta 
APENAS em: 
 
 
 
I e II. 
 
II. 
 
I e III. 
 
II e III. 
 
III e IV.Gabarito Comentado 
 
 
6. 
 
 
Independente do tamanho, da natureza e do tipo da organização, os 
requisitos definidos pela norma são genéricos e podem ser aplicados a 
todas as organizações. Entretanto existem quatro itens que são 
obrigatórios de implementação da norma ISO/IEC 27001 em qualquer 
organização: 
 
 
 
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias 
internas 
 
Sistema de gestão de segurança da informação, responsabilidade da direção, análise 
crítica do SGSI pela direção e Melhoria do SGSI 
 
Sistema de gestão de segurança da informação, análise de risco, auditorias internas 
e melhoria do SGSI 
 
Responsabilidade da direção, auditorias internas, controle de registros, sistema de 
gestão de segurança da informação. 
 
Sistema de gestão de segurança da informação, classificação da informação, 
auditoria internas e análise de risco. 
 
 
Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de 
Recuperação de Desastres (PRD)? 
 
 
O PRD é responsável pela continuidade dos processos de Tecnologia da Informação 
enquanto que o PCN foca-se na continuidade para todos os processos. 
 
O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto 
que o PRD cobre somente os ativos de informação. 
 
O PCN só pode ser implementado se o PRD já tiver em uso. 
 
O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é 
destinado à reparação dos danos causados. 
 
O PRD é mais abrangente que o PCN. 
 
 
 
2. 
 
 
Você está trabalhando em um projeto de implantação da continuidade de negócios em 
sua organização. Você está na fase do projeto que é necessário determinar a estratégia 
de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser 
definida: 
 
 
A organização deve somente considerar as medidas apropriadas para reduzir a 
probabilidade de ocorrência de incidentes e seus efeitos. 
 
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência 
de incidentes e seus efeitos. 
 
A organização deve implementar medidas apropriadas para reduzir a probabilidade 
de ocorrência de incidentes e seus efeitos. 
 
A organização deve implementar medidas apropriadas diminuir o impacto da 
ocorrência de incidentes e seus efeitos. 
 
A organização deve liberar medidas urgentes para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
 
 
 
3. 
 
 
Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja 
no nível mais alto da organização para garantir que: 
 
 
As metas e objetivos definidos não sejam comprometidos por interrupções 
inesperadas 
 
As metas e objetivos da alta Direção sejam comprometidos por interrupções 
inesperadas 
 
As metas e objetivos dos clientes sejam comprometidos por interrupções 
inesperadas 
 
As metas e objetivos definidos sejam comprometidos por interrupções inesperadas 
 
As metas e objetivos dos usuários sejam comprometidos por interrupções 
inesperadas 
 
 
 
4. 
 
 
Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, 
também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está 
utilizado qual propriedade de segurança? 
 
 
Não-Repúdio; 
 
Autenticidade; 
 
Confidencialidade; 
 
Auditoria; 
 
Integridade; 
 
 Gabarito Comentado 
 
 
5. 
 
 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo 
para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, 
Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a 
transmissão. Neste estava houve uma falha na segurança da informação relacionada à: 
 
 
Confidencialidade; 
 
Não-Repúdio; 
 
Autenticidade; 
 
Auditoria; 
 
Integridade; 
 
 
 
6. 
 
 
Um plano de contingência se situa no contexto dos resultados da criação de uma 
estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de 
negócios e planos de recuperação de negócios que detalhem os passos a serem tomados 
durante e após um incidente para manter ou restaurar as operações. 
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao 
elemento: 
 
 
Entendendo a organização. 
 
Desenvolvendo e implementando uma resposta de GCN. 
 
Testando, mantendo e analisando criticamente os preparativos de GCN. 
 
Incluindo a GCN na cultura da organização. 
 
Determinando a estratégia de continuidade de negócios. 
 
 
Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das 
opções abaixo está INCORRETA : 
 
 
A Chave Publica não pode ser divulgada livremente, somente a Chave Privada 
 
A Chave Publica pode ser divulgada livremente 
 
Chave Publica e Privada são utilizadas por algoritmos assimétricos 
 
Cada pessoa ou entidade mantém duas chaves 
 
A Chave Privada deve ser mantida em segredo pelo seu Dono 
 
 
 
2. 
 
 
A sub-rede, também conhecida como rede de perímetro, utilizada para 
transmitir informações entre uma rede confiável e uma não confiável, 
mantendo os serviços que possuem acesso externo separados da rede 
local, é chamada de: 
 
 
 
DMZ 
 
Firewall 
 
Intranet 
 
Proxy 
 
VPN 
 
 
 
3. 
 
 
Seja qual for o objeto da contingência : uma aplicação, um processo de 
negócio, um ambiente físico e, até mesmo uma equipe de funcionários, a 
empresa deverá selecionar a estratégia de contingência que melhor 
conduza o objeto a operar sob um nível de risco controlado. Nas 
estratégias de contingência possíveis de implementação, qual a estratégia 
que está pronta para entrar em operação assim que uma situação de 
risco ocorrer? 
 
 
 
Warm-site 
 
Realocação de operação 
 
Cold-site 
 
Hot-site 
 
Acordo de reciprocidade 
 
 Gabarito Comentado 
 
 
4. 
 
Qual o dispositivo que tem por objetivo aplicar uma política de segurança 
a um determinado ponto de controle da rede de computadores de uma 
empresa sendo sua função a de regular o tráfego de dados entre essa 
 
 
rede e a internet e impedir a transmissão e/ou recepção de acessos 
nocivos ou não autorizados. 
 
 
Spyware. 
 
Adware. 
 
Mailing. 
 
Antivírus. 
 
Firewall. 
 
 
 
5. 
 
 
Entre os diversos mecanismos de segurança o firewall é muito utilizado 
pelas organizações. Podem ser classificados em diferentes tipos. Qual das 
opções abaixo apresenta o tipo de Firewall que permite executar a 
conexão ou não a um serviço em uma rede modo indireto ? 
 
 
 
Firewall Indireto 
 
Firewall de Borda 
 
Filtro com Pacotes 
 
Firewall com Estado 
 
Firewall Proxy 
 
 
 
6. 
 
 
Considerando que um usuário deseje enviar um e-mail criptografado, 
assinale a alternativa que apresenta a chave do destinatário que esse 
usuário deverá conhecer para realizar corretamente a criptografia. 
 
 
 
Chave criptografada privada 
 
Chave certificada 
 
Chave criptografada pública 
 
Chave pública 
 
Chave privada

Outros materiais