GSI_AP_Aulas1_10

Prévia do material em texto

GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Exercício: CCT0059_EX_A1 
 1a Questão (Ref.: 201307346242) Fórum de Dúvidas (7) Saiba (0) 
 
Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos 
dizer que: 
 
 
A afirmativa é verdadeira somente para vulnerabilidades físicas. 
 
A afirmativa é falsa. 
 A afirmativa é verdadeira. 
 
A afirmativa é verdadeira somente para ameaças identificadas. 
 
A afirmativa é verdadeira somente para vulnerabilidades lógicas. 
 2a Questão (Ref.: 201307346248) Fórum de Dúvidas (7) Saiba (0) 
 
Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a 
tecnologia da informação apóia as operações e processos das empresas, qual das opções abaixo poderá ser 
escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo? 
 
 
O Aumento no consumo de softwares licenciados; 
 
O uso da internet para sites de relacionamento; 
 O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; 
 
O crescimento explosivo da venda de computadores e sistemas livres; 
 
O crescimento explosivo dos cursos relacionados com a tecnologia da informação; 
 3a Questão (Ref.: 201307346245) Fórum de Dúvidas (7) Saiba (0) 
 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções 
abaixo nãopode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e 
organizações? 
 
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; 
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; 
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; 
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; 
 Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; 
 4a Questão (Ref.: 201307515065) Fórum de Dúvidas (7) Saiba (0) 
 
A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus 
respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a 
disponibilidade, qual das definições abaixo expressa melhor este princípio: 
 
 Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis 
para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados. 
 
Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou 
processos. 
 
Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de 
maneira não autorizada e aprovada. 
 
Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, 
sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de cancelamento posterior. 
 Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível 
para um usuário, entidade, sistema ou processo autorizado e aprovado. 
 5a Questão (Ref.: 201307520678) Fórum de Dúvidas (7) Saiba (0) 
 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de 
usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um 
determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma 
informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na 
segurança da informação para este sistema na propriedade relacionada à: 
 
 Integridade 
 
Confidencialidade 
 
Privacidade 
 
Auditoria 
 Disponibilidade 
 6a Questão (Ref.: 201307346241) Fórum de Dúvidas (7) Saiba (0) 
 
A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses 
dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do tratamento 
dos Dados para a sua utilização eficaz nas organizações? 
 
 
Dado - Informação - Dados Brutos 
 
Dado - Conhecimento - Informação 
 
Dado - Informação - Informação Bruta 
 Dado - Informação - Conhecimento 
 
Dado - Conhecimento Bruto - Informação Bruta 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Exercício: CCT0059_EX_A2 
 1a Questão (Ref.: 201307349003) Fórum de Dúvidas (0) Saiba (0) 
 
Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade 
quanto pela de disponibilidade¿. Esta afirmação é: 
 
 verdadeira se considerarmos que o nível não deve ser mudado. 
 
falsa, pois não existe alteração de nível de segurança de informação. 
 verdadeira, pois a classificação da informação pode ser sempre reavaliada. 
 
verdadeira desde que seja considerada que todas as informações são publicas. 
 
falsa, pois a informação não deve ser avaliada pela sua disponibilidade. 
 2a Questão (Ref.: 201307863540) Fórum de Dúvidas (0) Saiba (0) 
 
Ao elaborar e comunicar uma Política de Segurança da Informação é necessário: 
 
I. Usar uma linguagem conhecida. 
II. Usar meios adequados aos tipos de mensagens e usuários. 
III. Adotar estilo simples e claro. 
IV. Respeitar o interlocutor sem superestimá-lo nem subestimá-lo. 
V. Respeitar a cultura organizacional e a do país a que se destina. 
 
 As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única, mesmo para 
uma multinacional, e as características humanas e legais do país na qual é aplicada não podem interferir 
na sua tradução. 
 As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário que ela seja 
ajustada a cada instituição e deve ser comunicada de maneira que todos entendam. 
 
As alternativas I, II, III e V estão corretas, mas a IV está errada porque deve supor-se que todos os 
usuários foram selecionados pela empresa, portanto entendem a tecnologia usada. 
 
As alternativas I, III, IV e V estão corretas, mas a II está errada pois este é um item irrelevante no 
contexto da política de segurança. 
 
As alternativas I, II, IV e V estão corretas, mas a III está errada porque uma política deve ser construída 
considerando-se uma linguagem tecnológica independentemente dos tipos de usuários a que se destina. 
 3a Questão (Ref.: 201307348833) Fórum de Dúvidas (0) Saiba (0) 
 
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID 
difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de 
segurança¿, podemos dizer que: 
 
 A afirmação é falsa. 
 
A afirmação é somente verdadeira para as empresas privadas. 
 
A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
 
A afirmação é somente falsa para as empresas privadas. 
 A afirmação é verdadeira. 
 4a Questão (Ref.: 201307349005) Fórum de Dúvidas (0) Saiba (0) 
 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha 
na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um 
tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da 
informação relacionada à: 
 
 
Auditoria; 
 Confidencialidade; 
 Integridade; 
 
Autenticidade; 
 
Não-Repúdio; 
 5a Questão (Ref.: 201307349047) Fórum de Dúvidas (0) Saiba (0) 
 
As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma 
organização, a todo instanteos negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de 
investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na 
ótica da Segurança da Informação? 
 
 
Fragilidade presente ou associada a ativos que exploram ou processam informações . 
 
Fragilidade presente ou associada a ameaças que manipulam ou processam informações . 
 
Impacto presente ou associada a ativos que manipulam ou processam informações. 
 Fragilidade presente ou associada a ativos que manipulam ou processam informações . 
 
Ameaça presente ou associada a ativos que manipulam ou processam informações. 
 6a Questão (Ref.: 201307349044) Fórum de Dúvidas (0) Saiba (0) 
 
A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar lucros 
ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das opções 
abaixo apresenta os quatro aspectos importantes para a classificação das informações? 
 
 Confiabilidade, integridade, vulnerabilidade e valor. 
 
Confidencialidade, vulnerabilidade, disponibilidade e valor. 
 
Confidencialidade, integridade, disponibilidade e vulnerabilidade . 
 
Confiabilidade, integridade, risco e valor. 
 Confidencialidade, integridade, disponibilidade e valor. 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Exercício: CCT0059_EX_A3 
 1a Questão (Ref.: 201307532051) Fórum de Dúvidas (3) Saiba (0) 
 
 
Observe a figura acima e complete corretamente a legenda dos desenhos: 
 
 
 Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios 
 Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos 
 
Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios 
 
Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios 
 
Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos 
 2a Questão (Ref.: 201307515379) Fórum de Dúvidas (3) Saiba (0) 
 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar 
privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de 
cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a 
Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física: 
 
 
Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de 
informações, perda de dados ou indisponibilidade de recursos quando necessários. 
 
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de 
fabricação. 
 Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 
 Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de 
energia). 
 
Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a 
instalação. 
 3a Questão (Ref.: 201307865675) Fórum de Dúvidas (3) Saiba (0) 
 
Você está analisando um documento e precisa verificar se os dados estão corretos. Qual aspecto de segurança 
da informação sobre confiabilidade você está verificando? 
 
 
Não repúdio 
 
Disponibilidade 
 Integridade 
 
Privacidade 
 
Legalidade 
 4a Questão (Ref.: 201307863535) Fórum de Dúvidas (3) Saiba (0) 
 
Relacione a primeira coluna com a segunda: 
A. Área de armazenamento sem proteção 1. ativo 
B. Estações de trabalho 2. vulnerabilidade 
C. Falha de segurança em um software 3. ameaça 
D. Perda de vantagem competitiva 4. impacto 
E. Roubo de informações 5. medida de segurança 
F. Perda de negócios 
G. Não é executado o "logout" ao término do uso dos sistemas 
H. Perda de mercado 
I. Implementar travamento automático da estação após período de tempo sem uso 
J. Servidores 
K. Vazamento de informação 
 
 
 A2, B1, C2, D4, E3, F4, G2, H4, I5, J1, K3. 
 
A2, B1, C3, D3, E4, F4, G2, H4, I5, J1, K3. 
 A2, B1, C2, D4, E4, F4, G2, H4, I5, J1, K3. 
 
A2, B1, C2, D3, E3, F3, G2, H4, I5, J1, K4. 
 
A2, B1, C3, D3, E3, F4, G2, H4, I5, J1, K4. 
 5a Questão (Ref.: 201307910174) Fórum de Dúvidas (3) Saiba (0) 
 
Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, 
intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base 
nessa informação, analise os itens a seguir. 
 
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser 
explorado por vírus, cavalos de troia, negação de serviço entre outros. 
 
II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de 
informação. 
 
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. 
 
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. 
 
Representam vulnerabilidades dos ativos de informação o que consta em: 
 
 I, III e IV, somente. 
 
I, II, III e IV. 
 
I e III, somente. 
 
II e III, somente. 
 
I, II e IV, somente. 
 6a Questão (Ref.: 201307852854) Fórum de Dúvidas (3) Saiba (0) 
 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo 
com a ABNT NBR ISO/IEC 27005. 
 
 
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente 
estabelecido. 
 O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
 As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem 
humana. 
 
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de 
incidentes de segurança. 
 
As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos. 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Exercício: CCT0059_EX_A4 
 1a Questão (Ref.: 201307520694) Fórum de Dúvidas (1) Saiba (0) 
 
Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias 
maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com 
uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa 
de cartão de crédito ou um site de comércio eletrônico. 
 
 Phishing. 
 
Hijackers. 
 
Trojans. 
 
Wabbit. 
 
Exploits. 
 2a Questão (Ref.: 201307345768) Fórum de Dúvidas (1) Saiba (0) 
 
Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua 
origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? 
 
 Interna e Externa 
 
Secreta e Externa 
 
Interna e Oculta 
 
Secreta e Oculta 
 
Conhecida e Externa 
 3a Questão (Ref.: 201307345789) Fórum de Dúvidas (1) Saiba (0) 
 
Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? 
 
 Passivo 
 
Fraco 
 
Secreto 
 
Forte 
 Ativo 
 4a Questão (Ref.: 201307345778) Fórum de Dúvidas (1) Saiba (0) 
 
As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos 
por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das 
ameaças quanto a sua intencionalidade? 
 
 Naturais, Voluntarias e Obrigatórias.Naturais, Voluntarias e Vulneráveis. 
 
Ocasionais, Involuntárias e Obrigatórias. 
 
Naturais, Involuntárias e Obrigatórias. 
 Naturais, Involuntárias e Voluntarias. 
 5a Questão (Ref.: 201307346247) Fórum de Dúvidas (1) Saiba (0) 
 
Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos 
diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma 
ameaça¿. Podemos dizer que é: 
 
 verdadeira 
 
falsa, pois os impactos são sempre iguais para ameaças diferentes. 
 
falsa, pois não depende do ativo afetado. 
 
parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. 
 
falsa, pois não devemos considerar que diferentes ameaças existem . 
 6a Questão (Ref.: 201307852860) Fórum de Dúvidas (1) Saiba (0) 
 
O que são exploits? 
 
 É um programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e necessita deste 
programa hospedeiro para se propagar, o worm é um programa completo e não precisa de outro 
programa para se propagar. 
 São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades 
conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são utilizados por pessoas sem 
conhecimento da vulnerabilidade. 
 
São programas utilizados para descobrir as senhas dos usuários. Estes programas geralmente são muito 
lentos, pois usam enormes dicionários com o máximo de combinações possíveis de senhas e ficam 
testando uma a uma até achar a senha armazenada no sistema 
 
Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar por outra 
máquina, utilizando a técnica de Spoofing. Quando estas solicitações começarem a ser respondidas, o 
sistema alvo será inundado (flood) pelas respostas do servidor. 
 
Consiste no software de computador que recolhe a informação sobre um usuário do computador e 
transmite então esta informação a uma entidade externa sem o conhecimento ou o consentimento 
informado do usuário. 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Exercício: CCT0059_EX_A5 
 1a Questão (Ref.: 201307345764) Fórum de Dúvidas (3) Saiba (0) 
 
Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? 
 
 
Fraco 
 
Secreto 
 Passivo 
 Ativo 
 
Forte 
 2a Questão (Ref.: 201307345834) Fórum de Dúvidas (3) Saiba (0) 
 
Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das 
opções abaixo Não representa um destes passos? 
 
 
Obtenção de Acesso 
 
Camuflagem das Evidências 
 Divulgação do Ataque 
 Exploração das Informações 
 
Levantamento das Informações 
 3a Questão (Ref.: 201307532056) Fórum de Dúvidas (3) Saiba (0) 
 
Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o 
atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. O ataque que tem como objetivo a verificação 
do lixo em busca de informações que possam facilitar o ataque é denominado: 
 
 IP Spoofing 
 Dumpster diving ou trashing 
 
Packet Sniffing 
 
SQL Injection 
 
Ataque smurf 
 4a Questão (Ref.: 201307345831) Fórum de Dúvidas (3) Saiba (0) 
 
Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas 
servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao 
invés da invasão? 
 
 DDos 
 
Shrink wrap code 
 
Source Routing 
 Phishing Scan 
 
SQL Injection 
 5a Questão (Ref.: 201307345833) Fórum de Dúvidas (3) Saiba (0) 
 
Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente segue para 
realizar um Ataque de Segurança : 
 
 Levantamento, Obtenção, Exploração, Manutenção e Camuflagem 
 
Exploração, Levantamento, Obtenção, Manutenção e Camuflagem 
 Levantamento, Exploração, Obtenção, Manutenção e Camuflagem 
 
Obtenção, Exploração, Levantamento, Manutenção e Camuflagem 
 
Obtenção, Levantamento, Exploração, Manutenção e Camuflagem 
 6a Questão (Ref.: 201307345836) Fórum de Dúvidas (3) Saiba (0) 
 
Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções 
abaixo Não representa um destes tipos de ataques? 
 
 Ataques Genéricos 
 
Ataque de Configuração mal feita 
 
Ataque à Aplicação 
 
Ataque aos Sistemas Operacionais 
 
Ataque para Obtenção de Informações 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Exercício: CCT0059_EX_A6 
 1a Questão (Ref.: 201307345857) Fórum de Dúvidas (1) Saiba (0) 
 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são 
utilizados termos numéricos para os componentes associados ao risco. 
 
 
Método Numérico. 
 
Método Qualitativo 
 Método Quantitativo 
 
Método Exploratório. 
 
Método Classificatório 
 2a Questão (Ref.: 201307878407) Fórum de Dúvidas (2 de 5) Saiba (0) 
 
Qual o nome do ataque que tem o intuito de enviar uma quantidade em "massa" de e-mails muitas das vezes 
indesejáveis ? 
 
 Spyware 
 
Backdoor 
 Spam 
 
Adware 
 
Rootkit 
 3a Questão (Ref.: 201307878299) Fórum de Dúvidas (1) Saiba (0) 
 
Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las 
posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ? 
 
 
Phishing 
 Bot/Botnet 
 
Spyware 
 
Spammer 
 
Rootkit 
 4a Questão (Ref.: 201307878439) Fórum de Dúvidas (1) Saiba (0) 
 
Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo teclado do 
usuário e é enviado para o invasor ? 
 
 
Defacement 
 
Backdoor 
 Keylogger 
 
Phishing 
 Spyware 
 5a Questão (Ref.: 201307345846) Fórum de Dúvidas (1) Saiba (0) 
 
Você trabalha na área de gestão de risco da sua organização. Após a fase de análise de risco, você irá realizar a 
etapa de tratamento de risco através da implementação de controles que irão reduzir a probabilidade de 
ameaças se concretizarem , assim como a diminuição do grau de vulnerabilidade do ambiente de produção. 
Neste caso a medida de proteção implementada foi: 
 
 
Medidas de controles 
 Medidas preventivas 
 
Medidas corretivas 
 
Métodos detectivos 
 
Medidas reativas 
 6a Questão (Ref.: 201307897404) Fórum de Dúvidas (0) Saiba (0) 
 
Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da 
Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o 
tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento 
do risco, exceto: 
 
 
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos. 
 Corrigir os riscos de segurança presentes. 
 
Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. 
 Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da 
organização e aos critérios para a aceitação do risco. 
 
Aplicar controles apropriados para reduzir os riscos. 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Exercício: CCT0059_EX_A7 
 1a Questão (Ref.: 201307345866) Fórum de Dúvidas (0) Saiba (0) 
 
Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: 
 
 
Identificação/avaliação sistemática dos eventos de segurança da informação 
 
Análise/revisão sistemática dos ativos de segurança da informaçãoAnálise/avaliação sistemática dos riscos de segurança da informação 
 
Análise/avaliação sistemática dos incidentes de segurança da informação 
 
Análise/orientação sistemática dos cenários de segurança da informação 
 2a Questão (Ref.: 201307364954) Fórum de Dúvidas (0) Saiba (0) 
 
Um Firewall pode ser definido como uma coleção de componentes, colocada entre duas redes, que coletivamente 
possua propriedades que: 
 
 
garantem que apenas o tráfego de dentro para fora da rede deve passar por ele. Somente o tráfego 
autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de 
violação. 
 
garantem que apenas o tráfego de fora para dentro da rede deve passar por ele. Somente o tráfego 
autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de 
violação. 
 garantem que todo o tráfego de dentro para fora da rede, e vice-versa, passe por ele. Somente o tráfego 
autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de 
violação. 
 
garantem que todo o tráfego de dentro para fora da rede e vice-versa deve ser bloqueado, 
independentemente da política de segurança adotada. Todo firewall deve ser à prova de violação. 
 
independentemente da política de segurança adotada, tem como objetivo principal impedir a entrada de 
vírus em um computador, via arquivos anexados a e-mails. 
 3a Questão (Ref.: 201307863538) Fórum de Dúvidas (0) Saiba (0) 
 
Analise as opções, qual dos controles abaixo é um controle físico para segurança física? 
 
 
Treinamento dos colaboradores. 
 
Firewall 
 Iluminação. 
 
Material das instalações. 
 
Procedimentos de resposta a incidentes de segurança física 
 4a Questão (Ref.: 201307855948) Fórum de Dúvidas (0) Saiba (0) 
 
A respeito da norma ISO/IEC 27002/2005 julgue os itens seguintes: 
1. Para se obter uma certificação segundo a norma ISO/IEC 27002/2005 será necessário, entre outros controles, 
proteger dados pessoais e privacidade das pessoas, Os registros da organização, e, os direitos de propriedade 
intelectual. 
2. São fontes de requisitos de Segurança da Informação, segundo a supracitada norma, a análise de riscos, a 
legislação pertinente e os princípio organizacionais. 
3. Para estar em conformidade com supracitada norma, todos os controles nela previstos devem ser implantados 
em qualquer tipo de Organização. 
4. Segundo a supracitada norma, a delegação de responsabilidades e o treinamento formal dos usuários nos 
princípios de Segurança da Informação, são considerados requisitos "essenciais" de Segurança da Informação. 
Assinale a opção correta: 
 
 Todas as afirmativas são falsas. 
 
Apenas as afirmativas 2 e 3 não estão corretas. 
 
As afirmativas 1, 3, 4 estão corretas. 
 
Apenas a afirmativa 2 está correta. 
 
A afirmativa 4 é verdadeira e a 2 é falsa. 
 5a Questão (Ref.: 201307552393) Fórum de Dúvidas (0) Saiba (0) 
 
A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a 
gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e 
melhorar a gestão de segurança da informação em uma organização. Em relação a Análise de Risco utilizada por 
esta norma complete as lacunas: A partir da análise/avaliação de riscos levando-se em conta os objetivos e 
_________________ globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É 
realizada ainda uma estimativa de ocorrência das ____________ e do impacto potencial ao negócio. 
 
 
especulações, ameaças 
 
oportunidades, vulnerabilidades 
 
oportunidades, ações 
 estratégias, ameaças 
 determinações, ações 
 6a Questão (Ref.: 201307346194) Fórum de Dúvidas (0) Saiba (0) 
 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são 
definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à 
sua gestão de acordo com a visão estratégica da alta direção? 
 
 
Relatório Estratégico. 
 
Manuais. 
 Diretrizes. 
 
Procedimentos. 
 
Normas. 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Exercício: CCT0059_EX_A8 
 1a Questão (Ref.: 201307346232) Fórum de Dúvidas (1) Saiba (0) 
 
A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a 
que tipo de proteção ? 
 
 
Limitação. 
 
Reação. 
 
Correção. 
 
Recuperação . 
 Preventiva. 
 2a Questão (Ref.: 201307863542) Fórum de Dúvidas (1) Saiba (0) 
 
Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da 
informação? 
 
 
Suporte técnico. 
 
Auditoria. 
 
Segregação de funções. 
 
Procedimentos elaborados. 
 Conscientização dos usuários. 
 3a Questão (Ref.: 201307552754) Fórum de Dúvidas (1) Saiba (0) 
 
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o 
SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua 
gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. 
Podemos dizer que uma das características da fase "Plan" é: 
 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros 
nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e 
os incidente de segurança da informação. 
 O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e 
tecnologia. 
 
Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão 
apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os 
recursos do SGSI. 
 
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados 
das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. 
 
A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, 
buscando não burocratizar o funcionamento das áreas. 
 4a Questão (Ref.: 201307346229) Fórum de Dúvidas (0) Saiba (0) 
 
Quando devem ser executadas as ações corretivas? 
 
 Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do 
SGSI de forma a evitar a sua repetição 
 Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma 
a evitar a sua repetição 
 
Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a 
evitar a sua repetição 
 
Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma 
a evitar a sua repetição 
 
Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a 
sua repetição 
 5a Questão (Ref.: 201307346236) Fórum de Dúvidas (1) Saiba (0) 
 
A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de 
camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o 
tipo de proteção que está sendo utilizada ? 
 
 
Reação 
 
Correção 
 
Preventiva 
 Desencorajamento 
 
Limitação 
 6a Questão (Ref.: 201307346234) Fórum de Dúvidas (1) Saiba (0) 
 
No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um 
Problema de Segurança: 
 
 
Uma Operação Incorreta ou Erro do usuário.Restrição Financeira. 
 
A perda de qualquer aspecto de segurança importante para a organização. 
 
Uma inundação. 
 
Uma tempestade. 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Exercício: CCT0059_EX_A9 
 1a Questão (Ref.: 201307532077) Fórum de Dúvidas (0) Saiba (0) 
 
Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as 
organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o 
perfeito dimensionamento das demais fases de elaboração do plano de continuidade ? 
 
 
Classificação da informação 
 
Análise de risco 
 
Análise de vulnerabilidade 
 Análise de impacto dos negócios (BIA) 
 
Auditoria interna 
 2a Questão (Ref.: 201307521791) Fórum de Dúvidas (0) Saiba (0) 
 
BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no 
Negócio que tem por finalidade apresentar todos os prováveis impactos de forma 
............................e........................... dos principais processos de negócios mapeados e entendidos na 
organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, 
norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios. 
 
 
Clara e Intelegível 
 
Natural e Desordenada 
 Simples e Objetiva. 
 
Estatística e Ordenada 
 Qualitativa e Quantitativa 
 3a Questão (Ref.: 201307426518) Fórum de Dúvidas (0) Saiba (0) 
 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você 
está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção 
que melhor retrata a estratégia a ser definida: 
 
 
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e 
seus efeitos. 
 
A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de 
incidentes e seus efeitos. 
 
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de 
incidentes e seus efeitos. 
 A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de 
incidentes e seus efeitos. 
 
A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
 4a Questão (Ref.: 201307552611) Fórum de Dúvidas (0) Saiba (0) 
 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem 
ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao 
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura 
do programa de GCN e o esforço gasto. Como podemos definir o elemento "Determinando a Estratégia"? 
 
 O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de 
gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de 
recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter 
ou restaurar as operações. 
 
A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O 
GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as 
oportunidades de melhorias possíveis. 
 
Para o estabelecimento do programa de GCN é necessário entender a organização para definir a 
priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para 
fornecê-los. 
 Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a 
organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade 
de tempo aceitável durante e logo após uma interrupção. 
 
Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a 
interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, 
através da sua inclusão na cultura da empresa. 
 5a Questão (Ref.: 201307426514) Fórum de Dúvidas (0) Saiba (0) 
 
Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual 
das opções abaixo não está em conformidade com as orientações da norma citada? 
 
 
Confirmar a natureza e extensão do incidente 
 
Comunicar-se com as partes interessadas 
 
Tomar controle da situação 
 
Controlar o incidente 
 Afastar o incidente do cliente 
 6a Questão (Ref.: 201307426511) Fórum de Dúvidas (0) Saiba (0) 
 
Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) 
esteja no nível mais alto da organização? 
 
 Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções 
inesperadas. 
 
Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções 
inesperadas. 
 
Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções 
inesperadas. 
 
Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por 
interrupções inesperadas. 
 
Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas. 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Exercício: CCT0059_EX_A10 
 1a Questão (Ref.: 201307426526) Fórum de Dúvidas (1) Saiba (0) 
 
Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor 
Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual 
tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de 
segurança? 
 
 
na Zona Desmilitarizada (DMZ) suja 
 na Zona Desmilitarizada (DMZ) protegida 
 na rede interna da organização 
 
ligado diretamente no roteador de borda 
 
em uma subrede interna protegida por um proxy 
 2a Questão (Ref.: 201307897408) Fórum de Dúvidas (1) Saiba (0) 
 
Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um 
comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e 
precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da 
rede. Neste caso você irá utilizar: 
 
 Um detector de intrusão para realizar a análise do tráfego da rede 
 
Um analisador de espectro de rede, para analisar o tráfego da rede 
 
Um firewall para auxiliar na análise do tráfego da rede 
 
Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede 
 
Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall 
 3a Questão (Ref.: 201307532079) Fórum de Dúvidas (1) Saiba (0) 
 
Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente físico e, até 
mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de contingência que melhor 
conduza o objeto a operar sob um nível de risco controlado. Nas estratégias de contingência possíveis de 
implementação, qual a estratégia que está pronta para entrar em operação assim que uma situação de risco 
ocorrer? 
 
 
Realocação de operação 
 Hot-site 
 
Acordo de reciprocidade 
 
Warm-site 
 
Cold-site 
 4a Questão (Ref.: 201307521778) Fórum de Dúvidas (1) Saiba (0) 
 
Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle 
da rede de computadoresde uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e a 
internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados. 
 
 
Adware. 
 
Spyware. 
 Firewall. 
 
Mailing. 
 
Antivírus. 
 5a Questão (Ref.: 201307426532) Fórum de Dúvidas (1) Saiba (0) 
 
Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas 
pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos 
e externos se comuniquem diretamente. Neste caso você optará por implementar : 
 
 Um servidor proxy 
 
Um detector de intrusão 
 
Um filtro de pacotes 
 
Um roteador de borda 
 
Um firewall com estado 
 6a Questão (Ref.: 201307426533) Fórum de Dúvidas (1) Saiba (0) 
 
Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um 
comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e 
precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da 
rede. Neste caso você irá utilizar: 
 
 
Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede 
 Um detector de intrusão para realizar a análise do tráfego da rede 
 
Um analisador de protocolo para auxiliar na análise do tráfego da rede 
 
Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall 
 
Um sniffer de rede, para analisar o tráfego da rede