691847288-Exercicios-Introducao-a-Seguranca-da-Informacao-Estacio

Prévia do material em texto

PRINCÍPIOS DA SEGURANÇA E O CICLO DE VIDA DA INFORMAÇÃO
 
1. O crescimento das redes abertas fez com que surgissem vários problemas de segurança, 
que vão desde o roubo de senhas e interrupção de serviços até problemas de personificação,
em que uma pessoa faz-se passar por outra para obter acesso privilegiado. Com isso, surgiu 
a necessidade de verificação da identidade tanto dos usuários quanto dos sistemas e 
processos. Dentro desse contexto, esse ato de verificação é chamado:
cadastro.
confiabilidade.
configuração.
autenticação.
acessibilidade.
Data Resp.: 19/11/2023 11:33:52
Explicação:
A resposta correta é: Autenticação.
 
2. Em relação à segurança da informação e aos controles de acesso físico e lógico, considere:
 
I. Se um usuário não mais faz parte a lista de um grupo de acesso aos recursos de 
processamento da informação, é certo que o grupo seja extinto com a criação de um novo, 
contendo os usuários remanescentes.
II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo trabalho 
devem ser retirados ou adaptados, incluindo chaves e qualquer tipo de identificação que 
associe a pessoa ao novo projeto.
III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve
ser controlado e restrito às pessoas autorizadas, preferencialmente por controles de 
autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification 
number).
 
Está correto o que se afirma em
I e II, apenas.
III, apenas.
I e III, apenas.
I, II e III.
II e III, apenas.
Data Resp.: 19/11/2023 11:36:13
Explicação:
Do ponto de vista de gerenciamento, não faz sentido excluir todos os usuários (o grupo) 
apenas para revogar o acesso de um único usuário que não tenha mais permissão.
 
3. Na questão que avalia conhecimento de informática, a  menos  que  seja  
explicitamente  informado  o  contrário,  considere que: todos os programas  
mencionados estejam em  configuração‐padrão,  em  português;  o  mouse  
esteja  configurado  para  pessoas  destras;  expressões  como  clicar,  
clique  simples  e  clique  duplo  refiram‐se  a  cliques  com  o  botão 
esquerdo do mouse; e teclar  corresponda  à operação  de  pressionar  uma 
tecla  e,  rapidamente,  liberá‐la,   acionando‐a  apenas  uma  vez.  
Considere  também  que  não haja restrições  de proteção, de 
funcionamento e de uso em relação aos programas, arquivos,  diretórios, 
recursos e equipamentos mencionados.
Assinale a alternativa que apresenta procedimento de segurança da 
informação que pode ser adotado pelas organizações.
descartar o inventário dos ativos, caso a organização possua
não envolver a direção com a segurança da informação, tendo em vista que ela já possui 
diversas outras atribuições
conceder aos funcionários o acesso completo aos sistemas e à rede (intranet) da 
organização
realizar, periodicamente, análises de riscos, com o objetivo de contemplar as mudanças 
nos requisitos de segurança da informação
direcionar os funcionários apenas para o exercício de suas funções diárias; pois 
treinamentos em segurança da informação ou outros eventos relacionados devem ser 
evitados
Data Resp.: 19/11/2023 11:36:50
Explicação:
A resposta correta é: realizar, periodicamente, análises de riscos, com o objetivo de 
contemplar as mudanças nos requisitos de segurança da informação.
 
4. Suponha que uma entidade R (remetente) deseja enviar uma mensagem m para outra 
entidade D (destinatário) utilizando a internet. Para se comunicarem, R e D utilizam 
criptografia de chave pública. R+ e R são as chaves pública e privada de R, respectivamente,
e D+ e D- são as chaves pública e privada de D, respectivamente.
 
A partir dessa situação, avalie o que se afirma.
I - Se R utilizar D+ para criptografar m, então D poderá utilizar D- para decriptar m.
II - Se R utilizar R+ para criptografar m, então D poderá utilizar D- para decriptar m.
III - Se R utilizar R- para criptografar m, então D poderá utilizar R+ para decriptar m.
IV - Se R utilizar D- para criptografar m, então D poderá utilizar R+ para decriptar m.
 
Está correto apenas o que se afirma em:
II e IV.
II e III.
III e IV.
I e IV.
I e III.
Data Resp.: 19/11/2023 11:37:39
Explicação:
A resposta correta é: I e III.
 
5. A informação é estruturação e organização dos dados. Assim, os dados constituem a matéria
prima da informação. Dentro dos aspectos da segurança da informação que exigem atenção 
são: confidencialidade, integridade e disponibilidade. A respeito da:
I - Na confidencialidade, as informações serão acessadas por quem tiver a devida 
autorização.
II - Na integridade, a informação que chega ao receptor pode não ser a que foi enviada pelo 
emissor
III - Disponibilidade, as informações podem ser acessadas por sistemas autorizados para tal 
fim.
Podemos considerar como corretas:
I apenas.
I e III.
I, II, III.
III apenas.
II e III.
Data Resp.: 19/11/2023 11:38:34
Explicação:
A resposta correta é: I e III. 
Na integridade, a informação que chega ao receptor é a que foi enviada pelo emissor. Ou 
seja, não houve modificação no envio da informação.
 
1. (FEPESE/2017) Identifique abaixo as afirmativas verdadeiras ( V ) e as falsas ( F ) sobre 
Negação de Serviço (DoS e DDoS):
( ) Negação de serviço, ou DoS (Denial of Service) é uma técnica pela qual um atacante 
utiliza um computador para tirar de operação um serviço, um computador ou uma rede 
conectada à Internet.
( ) Quando utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de 
computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou 
DDoS (Distributed Denial of Service).
( ) O principal objetivo dos ataques de Negação de Serviço (DoS e DDoS) é invadir e coletar 
informações do alvo.
( ) Uma pessoa pode voluntariamente usar ferramentas e fazer com que seu computador seja
utilizado em ataques. A grande maioria dos computadores, porém, participa dos ataques sem
o conhecimento de seu dono, por estar infectado e fazendo parte de botnets.
Assinale a alternativa que indica a sequência correta, de cima para baixo.
V F F F
F F V F
F V V F
V V F V
V F F V
Data Resp.: 19/11/2023 11:41:34
Explicação:
Podemos assumir que o principal objetivo dos ataques de Negação de Serviço (DoS e DDoS)
é paralisar as operações do alvo.
 
2. (FCC/2010) Sobre segurança da informação, considere:
I. Ameaça: algo que possa provocar danos à segurança da informação, prejudicar as ações 
da empresa e sua sustentação no negócio, mediante a exploração de uma determinada 
vulnerabilidade.
II. Vulnerabilidade: é medida pela probabilidade de uma ameaça acontecer e o dano 
potencial à empresa.
III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações 
corrompidas.
Está correto o que consta APENAS em
I e II
III
I
I e III
II e III
Data Resp.: 19/11/2023 11:42:29
Explicação:
Os itens II e III apresentam os conceitos invertidos, sendo correto afirmar:
Vulnerabilidade: ponto pelo qual alguém pode ser atacado, molestado ou ter suas 
informações corrompidas;
Risco: é medido pela probabilidade de uma ameaça acontecer e o dano potencial à empresa.
 
3. Ativos são recursos econômicos controlados por uma organização que possuem valor e 
podem gerar benefícios futuros. Eles são divididos em duas categorias principais: ativos 
tangíveis e ativos intangíveis. De maneira geral, qual exemplo pode ser considerado um ativo
lógico tangível?
Informação.
Imagem da organização.
Colaboradores.
Marca.
Humanos.
Data Resp.: 19/11/2023 11:43:13
Explicação:
Ativos tangíveis lógicos são aqueles que envolvem a informação e sua representação em 
algoritmos, por exemplo, uma fórmula química, os detalhes sobre a safra da laranja no 
mercado norte-americano, o algoritmo principal de busca do Google, os detalhes técnicos das
baterias dos carros do Elon Musk.
 
4. (FCC/2012 - Adaptada) Códigos maliciosos (malwares) são programas que objetivam 
executar ações danosas e atividades maliciosasem um computador. Neste contexto 
encontram-se bots e botnets, sobre os quais é correto afirmar:
Um computador infectado por um bot costuma ser chamado de attack base, pois serve de 
base para o atacante estabelecer suas ações maliciosas. Também pode ser chamado de 
spam host, pois o bot instalado tem o objetivo de enviar infinitamente spams para a caixa 
de e-mail de quem é vítima do ataque.
Bot é um programa que dispõe de mecanismos de comunicação com o invasor e possui 
um processo de infecção e propagação igual ao do vírus, ou seja, não é capaz de se 
propagar automaticamente.
Algumas das ações maliciosas que costumam ser executadas por intermédio de botnets 
são: ataques de negação de serviço, propagação de códigos maliciosos, coleta de 
informações de um grande número de computadores, envio de spam e camuflagem da 
identidade do atacante.
Botnet é um software malicioso de monitoramento de rede que tem a função de furtar 
dados que transitam pela rede e, normalmente, tornar a rede indisponível disparando uma
grande carga de dados direcionados ao servidor da rede.
A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer 
exclusivamente via redes do tipo P2P. Ao se comunicar, o invasor pode enviar instruções 
para que ações maliciosas sejam executadas, como desferir ataques, furtar dados do 
computador infectado e enviar spam.
Data Resp.: 19/11/2023 11:44:53
Explicação:
Botnets, também conhecido como rede zumbi, é um conjunto de equipamentos que sofreu 
um ataque, resultando no controle do equipamento pelo hacker. Através de botnets é 
possível fazer ataques de negação de serviço, envios de e-mails em massa e vários outros.
 
5. (UFES/2014) O termo "Engenharia Social" é comumente utilizado para se referir a técnicas 
utilizadas por pessoas mal-intencionadas que abusam de relações sociais para conseguir 
informações sigilosas ou acesso a sistemas. Dos cenários abaixo, NÃO caracteriza um caso 
de Engenharia Social o que está descrito em
Após fornecer seu endereço de e-mail em um site para se cadastrar, você recebe uma 
mensagem de e-mail desse site pedindo que você clique em um link para confirmar o seu 
cadastro.
Em um ambiente de trabalho, uma pessoa liga, identifica-se como administrador dos 
sistemas da empresa e solicita que você siga uma série de passos, incluindo acesso a 
sites na internet e instalação de softwares, para melhorar o desempenho da sua máquina.
Uma pessoa liga para você, identifica-se como sendo de uma empresa prestadora de 
serviços (ex.: de telefonia), explica que há um problema no seu cadastro e pede que você 
informe vários dados pessoais, como nome completo, endereço, etc.
Você recebe um e-mail alertando sobre um novo vírus muito perigoso e orientando-o a 
procurar por determinado arquivo em seu sistema e, caso ele exista, excluí-lo 
imediatamente e repassar a mensagem a todos os seus conhecidos.
Você recebe um e-mail indicando que acaba de ser sorteado com um prêmio e instruindo-
o a acessar um determinado site e preencher o cadastro para coletar o seu prêmio.
Data Resp.: 19/11/2023 11:48:12
Explicação:
A Engenharia Social é um método de ataque que utiliza a persuasão para obter dados 
sigilosos do usuário, seja por meios eletrônicos ou não. Normalmente, o atacante se passa 
por alguém confiável, como uma instituição conhecida, como um banco ou empresa. A opção
correta mencionada refere-se apenas a um procedimento de confirmação, comum quando 
você se cadastra em um site e recebe uma mensagem para confirmar a validade do seu 
endereço de e-mail.
 
6. O link de acesso à internet de uma instituição encontra-se muito instável porque
o seu provedor não cumpre o SLA. Do ponto de vista de segurança e análise de
risco, isso deve ser considerado como evidência de:
Ameaça.
BYOD.
Negação de serviço.
Resiliência.
Vulnerabilidade.
Data Resp.: 19/11/2023 11:48:58
Explicação:
A resposta correta é: Vulnerabilidade.
 
7. Indique a alternativa que pode conter um relacionamento mais apropriado entre 
os conceitos de AMEAÇA, IMPACTO, INCIDENTE e VULNERABILIDADE 
tratados pela Gestão de Riscos na Tecnologia da Informação.
Data Resp.: 19/11/2023 11:50:03
Explicação:
A resposta correta é:
 
8. Considere que uma equipe esteja trabalhando num software web com severas 
restrições de segurança. Além dos desenvolvedores e analistas, essa equipe 
conta com profissionais especialistas em segurança que têm, entre outras 
atribuições, a responsabilidade de realizar a revisão dos códigos a fim de evitar 
vulnerabilidades. Se durante a etapa de desenvolvimento um revisor da equipe 
de segurança detectar uma vulnerabilidade, é sua responsabilidade:
Separar a vulnerabilidade, tratando o código com erro como mais um 
problema que requer correção.
Corrigir a vulnerabilidade, contatando os desenvolvedores que programaram 
o trecho de código vulnerável.
Isolar o problema e solicitar que a equipe de desenvolvimento corrija a 
vulnerabilidade imediatamente.
Separar a vulnerabilidade e alertar a equipe de segurança para que o 
problema seja resolvido.
Corrigir o problema e relatar a vulnerabilidade à equipe de segurança.
Data Resp.: 19/11/2023 11:51:07
Explicação:
A resposta correta é: Separar a vulnerabilidade e alertar a equipe de segurança 
para que o problema seja resolvido.
 
9. Sobre os conceitos de segurança da informação, analise as afirmativas a seguir:
 
I. Uma ameaça tem o poder de comprometer ativos vulneráveis.
II. Risco é a combinação das consequências de um incidente de segurança com
a sua probabilidade de ocorrência.
III. Vulnerabilidades técnicas são mais críticas do que vulnerabilidades criadas 
por comportamento humano.
 
Está correto somente o que se afirma em:
I e III
II
I
I e II
III
Data Resp.: 19/11/2023 11:52:12
Explicação:
A resposta correta é: I e II
 
10. É um tipo de malware feito para extorquir dinheiro de sua vítima. Esse tipo de 
ciberataque irá criptografar os arquivos do usuário e exigir um pagamento para 
que seja enviada a solução de descriptografia dos dados da vítima. O 
scareware é seu tipo mais comum e usa táticas ameaçadoras ou intimidadoras 
para induzir as vítimas a pagar.
O texto se refere ao:
DDoS
Spam
Ransomware
Botnet
Spyware
Data Resp.: 19/11/2023 11:52:42
Explicação:
A resposta correta é: Ransomware
 
1. Assinale a assertiva que NÃO representa um dos benefícios para a adoção da norma ABNT 
NBR ISO/IEC 27001:2013 por uma organização:
Fornece segurança a todas as partes interessadas
Oportunidade de identificar e eliminar fraquezas
Mecanismo para minimizar o fracasso do sistema
Isola recursos com outros sistemas de gerenciamento
Participação da gerência na Segurança da Informação
Data Resp.: 19/11/2023 11:54:34
Explicação:
A resposta correta é: Isola recursos com outros sistemas de gerenciamento.
 
2.
Falta informação nessa 
checagem para classificar
Sim
Não
Indica uma simples observação a ser feita
Não se aplica a esta norma
Data Resp.: 19/11/2023 11:55:03
Explicação:
A resposta correta é: Sim.
 
3. Assinale a assertiva que representa um dos benefícios para a adoção da norma ABNT NBR 
ISO/IEC 27001:2013 por uma organização:
Mecanismo para eliminar o sucesso do sistema
Fornece insegurança a todas as partes interessadas
Isola recursos com outros sistemas de gerenciamento
Não participação da gerência na Segurança da Informação
Oportunidade de identificar e eliminar fraquezas
Data Resp.: 19/11/2023 11:55:37
Explicação:
A resposta correta é: Oportunidade de identificar e eliminar fraquezas.
 
4. Dentre as opções a seguir, qual Norma Técnica apresenta um código de prática para a 
Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013:
6.1.3 Tratamento de riscos de segurança da informação
A organização deve definir a aplicar um processo de tratamento de riscos 
de segurança da informação para:
(...)
b) determinar todos os controles que são necessários para implementar as 
opções escolhidas do tratamento do risco da segurança da informação.d)   elaborar uma declaração de aplicabilidade, que contenha os controles 
necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, sejam eles 
implementados ou não, bem como a justificativa para a exclusão dos 
controles do Anexo A.
Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na Declaração 
de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de controle e controles 
constantes na norma.
De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como "Não-conformidade"?
gestão da segurança da informação?
ABNT NBR ISO/IEC 27001:2013
ABNT NBR ISO/IEC 20000-1:2011
ABNT NBR ISO/IEC 27002:2013
ABNT NBR ISO 9001:2008
ABNT NBR ISO 14001:2004
Data Resp.: 19/11/2023 11:56:23
Explicação:
A resposta correta é: ABNT NBR ISO/IEC 27002:2013
 
5. O item 12.2.1 da norma ABNT NBR ISO/IEC 27002:2013 diz respeito aos controles 
contra malware, cujas diretrizes para implementação recomendam a proteção contra códigos 
maliciosos baseada em softwares de detecção de malware e reparo, na conscientização da 
informação, no controle de acesso adequado e nos planos de continuidade de negócio.
Com base no acima exposto, e no seu conhecimento de segurança da informação e sistemas
de computação, marque a alternativa que possui uma das diretrizes recomendadas:
Estabelecer uma política informal proibindo o uso de softwares autorizados.
Estabelecer uma política formal para proteção contra os riscos associados com a 
importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, 
indicando quais medidas preventivas devem ser adotadas.
Conduzir análises informais, esporádicas e descompromissadas dos softwares e dados 
dos sistemas que suportam processos críticos de negócio.
Ignorar informalmente a presença de quaisquer arquivos não aprovados ou atualização 
não autorizada.
Instalar e atualizar regularmente softwares de detecção e remoção de malware, 
independentemente da fabricante, procedência e confiabilidade, para o exame de 
computadores e mídias magnéticas.
Data Resp.: 19/11/2023 12:02:31
Explicação:
A resposta correta é: Estabelecer uma política formal para proteção contra os riscos 
associados com a importação de arquivos e softwares, seja de redes externas, ou por 
qualquer outro meio, indicando quais medidas preventivas devem ser adotadas.
 
6. "The ISO Survey of Certifications" é uma ferramenta valiosa que fornece insights sobre a 
adoção e difusão de padrões ISO em todo o mundo.
 
Qual das alternativas abaixo melhor descreve o que é o The ISO Survey of 
Certifications?
Uma revista anual sobre as atualizações das normas ISO.
Um site onde as organizações podem obter certificações ISO.
Uma organização que define as normas ISO.
Uma pesquisa anual sobre o número de certificados válidos para os padrões do sistema 
de gerenciamento ISO em todo o mundo.
Uma conferência onde são discutidos os padrões ISO.
Data Resp.: 19/11/2023 12:03:18
Explicação:
Trata-se de uma pesquisa anual sobre o número de certificados válidos para os padrões 
do sistema de gerenciamento ISO em todo o mundo.
 
7. A certificação ISO/IEC 27001 oferece múltiplos benefícios para as organizações, 
proporcionando uma estrutura robusta e reconhecida para a gestão da segurança da 
informação.
 
Por que uma organização pode optar pela certificação ISO/IEC 27001?
Para demonstrar a conformidade com os requisitos de SGSI e gerenciar riscos.
Para substituir a necessidade de uma equipe de segurança da informação.
Para garantir que nenhum incidente de segurança ocorra.
Para evitar toda e qualquer ameaça cibernética.
Para garantir a satisfação do usuário final em todas as transações.
Data Resp.: 19/11/2023 12:04:12
Explicação:
A certificação ISO/IEC 27001 mostra que a organização segue um padrão reconhecido 
globalmente para o SGSI, ajudando a gerenciar riscos de segurança da informação e 
demonstrando conformidade a partes interessadas.
 
8. A Norma ISO/IEC 27001 é uma das normas mais reconhecidas internacionalmente para 
a gestão da segurança da informação.
 
Qual é o principal objetivo da Norma ISO/IEC 27001?
Estabelecer diretrizes para o descarte seguro de dados organizacionais.
Prover requisitos para estabelecer, implementar, manter e melhorar continuamente um 
Sistema de Gestão de Segurança da Informação (SGSI).
Fornecer um padrão para comunicações de rede seguras.
Definir padrões para testes de penetração cibernética.
Criar uma estrutura para treinamento em segurança cibernética.
Data Resp.: 19/11/2023 12:04:52
Explicação:
A Norma ISO/IEC 27001 foi desenvolvida para fornecer um modelo para estabelecer, 
implementar, operar, monitorar, revisar, manter e melhorar um SGSI.
 
9. A tríade CID é uma forma simplificada de representar os múltiplos objetivos da 
segurança da informação.
 
O que a tríade CID, que o SGSI busca preservar, representa?
Computação, Internet, Dados.
Certificação, Inovação, Desenvolvimento.
Confidencialidade, Integridade, Disponibilidade.
Complacência, Integridade, Durabilidade.
Consistência, Implementação, Durabilidade.
Data Resp.: 19/11/2023 12:05:47
Explicação:
A tríade CID é um modelo de segurança da informação que visa preservar a 
confidencialidade, integridade e disponibilidade das informações.
 
1. O processo de proteção de dados é um conjunto de ações que 
têm como objetivo garantir a segurança e a privacidade das 
informações armazenadas por uma organização ou indivíduo. 
Esse processo envolve a implementação de medidas técnicas, 
organizacionais e legais que visam prevenir o acesso, o uso, a 
alteração, a destruição ou a divulgação não autorizada de 
dados sensíveis. Nesse sentido, qual das opções abaixo é uma
razão válida para justificar a importância de se realizar backups
regularmente como medida de segurança da informação?
Realizar backups permite que você se livre de dados antigos e desnecessários, liberando 
espaço de armazenamento valioso.
Os backups são úteis apenas para fins de auditoria e conformidade regulatória, e não têm 
relação direta com a segurança da informação.
Backup é um desperdício de tempo e recursos, uma vez que as informações raramente 
são perdidas ou corrompidas.
Caso as informações sejam perdidas ou corrompidas devido a falhas de hardware, 
malware ou erros humanos, um backup recente pode ser restaurado, garantindo a 
continuidade das operações.
Os backups são importantes apenas para grandes empresas que precisam proteger 
grandes quantidades de dados confidenciais.
Data Resp.: 19/11/2023 12:07:01
Explicação:
Caso as informações sejam perdidas ou corrompidas devido a falhas de hardware, malware 
ou erros humanos, um backup recente pode ser restaurado, garantindo a continuidade das 
operações. Realizar backups regularmente é uma medida fundamental de segurança da 
informação, pois permite que, em caso de perda, corrupção ou inacessibilidade de dados, 
uma cópia recente e íntegra possa ser restaurada, minimizando os prejuízos para a 
organização. Falhas de hardware, ataques de malware e erros humanos são comuns e 
podem resultar na perda de dados importantes. Portanto, é crucial que backups sejam 
realizados regularmente e que sejam armazenados em locais seguros e protegidos contra 
ameaças físicas e lógicas. Além disso, backups também podem ser úteis em situações de 
desastres naturais, como incêndios, inundações e terremotos, que podem destruir 
completamente os dados armazenados em um único local.
 
2. Segurança da informação é um conjunto de práticas e medidas destinadas a proteger a 
confidencialidade, integridade e disponibilidade de informações. Qual das opções abaixo é 
considerada uma boa prática de segurança?
Nunca baixar programas de fornecedores oficiais.
Sempre utilizar antivírus desatualizados.
Nunca compartilhar senhas.
Sempre abrir links ou fazer download de arquivos enviados por e-mails não confiáveis ou 
de remetentes desconhecidos.
Desabilitar o firewall do sistema operacional.
Data Resp.:19/11/2023 12:07:33
Explicação:
O compartilhamento de senhas é uma prática arriscada e pode comprometer a segurança da 
informação, já que uma vez que a senha é compartilhada, a pessoa que a recebe pode ter 
acesso a informações confidenciais. Portanto, manter senhas seguras e não compartilhá-las 
é uma boa prática para proteger a confidencialidade das informações.
 
3. (TRE-TO/2006 - Adaptada) Entre as medidas técnicas utilizadas no processo de proteção de 
dados, estão o uso de criptografia para garantir a confidencialidade das informações, o 
controle de acesso para limitar quem pode acessar os dados e em que condições, e a 
realização de backups regulares para garantir a disponibilidade dos dados em caso de falhas 
ou desastres. Nesse sentido, assinale a opção correta a respeito de criptografia.
Na criptografia assimétrica, é utilizada uma única chave para cifração e decifração.
Na criptografia assimétrica, são utilizadas duas chaves, uma pública e uma privada, sendo
uma especificamente utilizada para cifrar e a outra, para decifrar.
A criptografia assimétrica provê sigilo, integridade, autenticidade e não-repúdio dos dados 
cifrados.
A criptografia simétrica provê sigilo, integridade e autenticidade dos dados cifrados.
Um dos pontos fortes dos sistemas de criptografia simétrica é a facilidade da distribuição 
da chave aos seus usuários.
Data Resp.: 19/11/2023 12:08:04
Explicação:
A criptografia simétrica não provê autenticidade. A criptografia assimétrica utiliza duas 
chaves, uma pública e uma privada. Como a criptografia simétrica utiliza apenas uma 
chave para criptografar/descriptografar, a mensagem será comprometida caso o invasor 
consiga capturar tal chave. Para garantir a segurança de divulgação da chave secreta, utiliza-
se a criptografia assimétrica em conjunto. Dessa forma, é notória a dificuldade de 
distribuição da chave simétrica.
 
4. (AMEOSC/2022 - Adaptada) Protege o computador contra outros programas potencialmente 
danosos. Ele detecta, impede e atua na remoção de programas maliciosos, como vírus e 
worms.
Marque a alternativa CORRETA que corresponde ao contexto acima.
Antivírus.
Firewall.
Painel de Controle.
Roteador.
Proxy.
Data Resp.: 19/11/2023 12:08:19
Explicação:
O antivírus é um programa de segurança projetado para detectar, impedir e remover 
softwares maliciosos, como vírus e worms, que podem prejudicar o computador e seus 
arquivos. Ele trabalha constantemente em segundo plano para monitorar atividades suspeitas
e alertar o usuário sobre possíveis ameaças. Por isso, o antivírus é uma medida importante 
de proteção contra ameaças virtuais e deve ser mantido sempre atualizado.
 
5. (CESGRANRIO/2012) O uso de criptografia simétrica no compartilhamento de informações 
secretas requer o compartilhamento de chave simétrica. Uma forma segura para um emissor 
enviar uma chave simétrica por meios de comunicação inseguros para um receptor é 
criptografar essa chave com a chave:
pública do emissor e a chave privada do receptor.
privada do receptor.
pública do receptor.
pública do emissor.
privada do emissor.
Data Resp.: 19/11/2023 12:09:52
Explicação:
Para enviar uma chave simétrica por meios de comunicação inseguros, é necessário 
criptografá-la. Nesse caso, a criptografia deve ser realizada utilizando a chave pública do 
receptor.
 
6. O sistema de backup de missão crítica é também chamado de ambiente de:
Disaster Recovery.
Personal Identification Number.
Daily Backup.
Personal Unblocking Key.
Ransomware.
Data Resp.: 19/11/2023 12:10:31
Explicação:
A resposta correta é: Disaster Recovery.
 
7. Em relação ao backup incremental, selecione a opção correta:
É a cópia dos dados criados e modificados desde o último backup.
Faz cópias de todos dados, inclusive dos logs de transações associados, 
para outro conjunto de mídia, que pode ser fita, disco, um DVD ou CD.
É a cópia de todos os dados que foram modificados desde o último backup 
de qualquer tipo.
É exatamente igual ao backup diferencial.
Também é chamado de backup incremental cumulativo.
Data Resp.: 19/11/2023 12:11:36
Explicação:
A resposta correta é: É a cópia de todos os dados que foram modificados desde
o último backup de qualquer tipo.
 
8. Quanto mais complexa for uma senha, mais difícil será para o invasor quebrá-la 
com o uso de programas, exclusivamente. Levando em consideração essa 
afirmação, selecione a opção que possui a senha com maior grau de dificuldade
de ser descoberta por um invasor:
aX1!@7s5
SeNhA123
69910814sa
MaRiA96
X1234Y1
Data Resp.: 19/11/2023 12:11:56
Explicação:
A resposta correta é: aX1!@7s5
 
9. Complete a frase corretamente: "as funções de hash, por exemplo, são 
adequadas para garantir a integridade dos dados, porque ..."
Qualquer alteração feita no conteúdo de uma mensagem fará com que o 
receptor calcule um valor de hash diferente daquele colocado na transmissão
pelo remetente.
Utilizam algoritmos de criptografia de chave pública.
Usam chave única para criptografar e descriptografar a mensagem.
Geralmente podem ser calculadas muito mais rápido que os valores de 
criptografia de chave pública.
Fazem a troca de chaves na chave simétrica.
Data Resp.: 19/11/2023 12:14:52
Explicação:
A resposta correta é: Qualquer alteração feita no conteúdo de uma mensagem 
fará com que o receptor calcule um valor de hash diferente daquele colocado na
transmissão pelo remetente.
 
10. "Todo acesso a cada objeto deve ser verificado quanto à autoridade. Esse 
princípio, quando aplicado sistematicamente, é o principal fundamento do 
sistema de proteção". Selecione a opção que se refere a esse mecanismo de 
proteção:
Mediação completa.
Compartilhamento mínimo.
Separação de privilégios.
Padrões à prova de falhas.
Privilégio mínimo.
Data Resp.: 19/11/2023 12:15:15
Explicação:
A resposta correta é: Mediação completa.
1. A gestão de riscos de segurança da informação é um processo fundamental para 
proteger ativos de informação contra ameaças e vulnerabilidades que podem 
comprometer a confidencialidade, integridade e disponibilidade dos dados. Ela envolve a
identificação, avaliação, tratamento e monitoramento dos riscos de segurança da 
informação em uma organização.
 
O que são riscos residuais na gestão de riscos de segurança da informação?
Riscos que não foram identificados.
Riscos que foram totalmente eliminados.
Riscos que não podem ser tratados.
Riscos que foram transferidos para terceiros.
Riscos que foram aceitos pela organização.
Data Resp.: 19/11/2023 12:18:00
Explicação:
Riscos residuais são aqueles que foram aceitos pela organização após o tratamento, 
pois podem ser considerados pequenos ou de alguma forma inevitáveis.
 
2. A proteção de informações, também conhecida como segurança da informação, é uma 
área crítica na era digital, na qual a informação desempenha um papel fundamental nos 
negócios e na sociedade como um todo. A proteção de informações visa impedir a 
divulgação não autorizada, a alteração indesejada e a indisponibilidade de dados e 
sistemas.
 
Qual dos seguintes termos se refere à proteção de informações contra acesso não 
autorizado?
Confidencialidade.
Integridade.
Disponibilidade.
Ameaça.
Vulnerabilidade.
Data Resp.: 19/11/2023 12:17:11
Explicação:
A confidencialidade está relacionada à proteção de informações contra acesso não 
autorizado. Ela é um dos pilares da segurança da informação.
 
3. O acesso não autorizado é uma das principais ameaças à segurança da informação e 
ocorre quando uma pessoa ou entidade obtém acesso a sistemas, dados, redes ou 
informações confidenciais sem a devida permissão ou autorização.
 
Qual dos seguintes termos se refere à proteção de informações contra acesso não 
autorizado?
Ameaça.
Integridade.
Confidencialidade.
Vulnerabilidade.
Disponibilidade.
Data Resp.: 19/11/2023 12:18:31
Explicação:
A confidencialidade está relacionada à proteção de informações contra acesso não 
autorizado. Ela é um dos pilares da segurança da informação.
 
4. Pontosde falha na segurança da informação são áreas ou componentes de um sistema, 
rede, processo ou organização que apresentam vulnerabilidades.
 
Qual é a definição de "vulnerabilidade" na segurança da informação?
Uma medida que pode modificar o risco.
Uma causa potencial de um incidente indesejado.
Uma mudança não desejável nos objetivos de negócios.
Um evento indesejado que compromete a segurança da informação.
Uma fragilidade de um ativo que pode ser explorada por ameaças.
Data Resp.: 19/11/2023 12:18:58
Explicação:
Uma vulnerabilidade é uma fragilidade de um ativo que pode ser explorada por uma ou 
mais ameaças, comprometendo a segurança da informação.
 
5. A gestão de riscos de segurança da informação é uma prática essencial para proteger os
ativos de informação e garantir a continuidade dos negócios em um ambiente cada vez 
mais digital e sujeito a ameaças.
 
Qual dos seguintes elementos é essencial na gestão de riscos de segurança da 
informação?
Medidas de controle.
Ativos de informação.
Vulnerabilidades identificadas.
Comunicação do risco.
Aceitação do risco.
Data Resp.: 19/11/2023 12:19:23
Explicação:
As medidas de controle desempenham um papel fundamental na gestão de riscos de 
segurança da informação, pois são usadas para reduzir a probabilidade e o impacto de 
incidentes de segurança.
 
6. Um ataque de negação de serviço tenta afetar a disponibilidade de um ativo, 
por exemplo, inundando um servidor de aplicação em rede com mais dados do 
que é capaz de processar por unidade de tempo.
 
Se existe uma ferramenta, dentro do domínio do servidor, que reage a um 
ataque de negação de serviço, ela é classificada como uma medida de controle:
Recuperadora
Preventiva
Reativa
Limitadora
Detectora
Data Resp.: 19/11/2023 12:20:05
Explicação:
A resposta correta é: Reativa
 
7. O  sistema   de  monitoramento   de nobreak detectou   uma   variação   na   tensão
elétrica na entrada dos aparelhos, mas essa variação não foi o suficiente para
causar danos aos equipamentos de computação a eles conectados.
 
Conforme os termos relacionados à segurança da informação, o que ocorreu 
pode ser classificado como:
Variação
Dano
Tensionamento
Eletricidade
Evento
Data Resp.: 19/11/2023 12:20:32
Explicação:
A resposta correta é: Evento
 
8. Houve um superaquecimento em um roteador, que parou de funcionar. O plano 
de tratamento para esse caso, definido como "risco alto", será colocado em 
prática imediatamente, porque esse risco é considerado:
Prioritário
Resolvido
Informalmente identificado
Residual
Não identificado
Data Resp.: 19/11/2023 12:20:55
Explicação:
A resposta correta é: Prioritário
 
9. Um membro da comissão de segurança precisa saber informações sobre cada 
um dos processos da GR. Ele consultará uma dentre as normas da família 
ISO/IEC 27000, que definem uma série de normas relacionadas à segurança da
informação. Ele precisa obter a norma:
ISO/IEC 27001
ISO/IEC 27005
ISO/IEC 27002
ISO/IEC 27000
ISO/IEC 31000
Data Resp.: 19/11/2023 12:21:18
Explicação:
A resposta correta é: ISO/IEC 27005
 
10. Um funcionário de uma empresa concluiu que existe uma probabilidade de 67% 
de sobrecarga e problemas no serviço de distribuição de conteúdo de vídeo em 
um eventual aumento na demanda do servidor. Dentro da GR, essa conclusão 
pode ser obtida na etapa de:
Aceitação do risco (residual).
Monitoramento e controle de riscos.
Definição do contexto.
Terminação de riscos.
Processo de avaliação de riscos.
Data Resp.: 19/11/2023 12:22:09
Explicação:
A resposta correta é: Processo de avaliação de riscos.
. O Risco é um conceito importante quando se trata do Plano de Continuidade de
Negócios (PCN). A respeito do Risco, selecione a opção correta:
É um conceito abstrato e com baixa chance de se transformar em um 
desastre.
Normalmente não podem ser controlados.
Não pode ser analisado em termos probabilísticos, uma vez que sempre está
presente.
Evento súbito e imprevisto que provoca grandes perdas ou danos a uma 
organização.
Possível evento que pode causar perdas ou danos, ou dificultar o atingimento
de objetivos.
Data Resp.: 19/11/2023 12:23:05
Explicação:
A resposta correta é: Possível evento que pode causar perdas ou danos, ou 
dificultar o atingimento de objetivos.
 
2. Os testes e simulações são uma parte fundamental do processo de desenvolvimento e 
manutenção de um PCN eficaz.
 
Por que é importante realizar testes e simulações em um PCN?
Para criar confusão.
Para validar a eficácia das estratégias e planos.
Para aumentar o custo do PCN.
Para entreter os funcionários.
Para desperdiçar tempo.
Data Resp.: 19/11/2023 12:23:27
Explicação:
A realização de testes e simulações em um PCN é fundamental para validar a eficácia 
das estratégias e planos, garantindo que a organização esteja preparada para lidar com 
situações de desastre.
 
3. Os quatro pilares fundamentais que sustentam o negócio de uma organização são 
elementos essenciais que formam a base para a sua existência e operação eficaz. Eles 
desempenham um papel fundamental na estruturação de todas as demais áreas da 
organização.
 
Quais são os quatro pilares fundamentais que sustentam o negócio de uma 
organização?
Pessoas, Processos, Tecnologia e Recursos.
Economia, Tecnologia, Política e Cultura.
Marketing, Vendas, Pesquisa e Desenvolvimento.
Qualidade, Eficiência, Sustentabilidade e Inovação.
Missão, Visão, Valores e Estratégia.
Data Resp.: 19/11/2023 12:24:33
Explicação:
Os quatro pilares fundamentais que sustentam o negócio de uma organização são 
Pessoas, Processos, Tecnologia e Recursos.
 
4. Ter um Plano de Continuidade de Negócios (PCN) robusto é fundamental para empresas
de todos os tamanhos, pois ajuda a mitigar riscos, proteger ativos críticos, manter a 
confiança dos clientes e garantir a sobrevivência do negócio.
 
Qual é o principal objetivo do Plano de Continuidade de Negócios (PCN)?
Desenvolver planos de vendas.
Garantir a recuperação e a continuidade das operações em caso de desastres.
Identificar estratégias de marketing.
Identificar as vulnerabilidades dos sistemas de TI.
Identificar as causas naturais de desastres.
Data Resp.: 19/11/2023 12:25:15
Explicação:
O principal objetivo do Plano de Continuidade de Negócios (PCN) é preservar o negócio 
da organização em caso de desastres ou eventos que possam interromper suas 
operações normais.
 
5. Uma Política de Gestão de Continuidade de Negócios (PGCN) eficaz desempenha um 
papel crucial na proteção dos ativos da organização, na minimização de interrupções 
operacionais e na garantia de que a organização possa se recuperar rapidamente de 
eventos disruptivos.
 
Qual é o principal propósito da Política de Gestão de Continuidade de Negócios (PGCN),
de acordo com a NBR15999-1 (2007)?
Atender a regulamentações de segurança cibernética.
Melhorar a eficiência dos processos de negócios da organização.
Fornecer uma base para entender, desenvolver e implementar a continuidade de negócios
na organização.
Implementar práticas de gerenciamento de projetos.
Criar planos de marketing para a organização.
Data Resp.: 19/11/2023 12:25:44
Explicação:
De acordo com a NBR15999-1, o propósito da PGCN é fornecer uma base para 
entender, desenvolver e implementar a continuidade de negócios em uma organização, 
fortalecendo a confiança nos negócios junto aos clientes e a outras organizações.
 
6. Dos planos que constituem o PCN (Plano de Continuidade de Negócios), 
selecione o que define as funções e responsabilidades das equipes envolvidas 
com acionamento das equipes de contingência:
Plano de Recuperação de Desastres (PRD).
Plano de Continuidade Operacional (PCO).
Plano de Contingência (Emergência).
PDCA (Plan-Do-Check-Execute).
Plano de Administração de Crises (PAC).
Data Resp.: 19/11/2023 12:26:58
Explicação:
A resposta correta é: Plano de Administração de Crises (PAC).
 
7. O PDCA é um instrumento muito importante para desenvolver um plano de 
continuidade de negócios (PCN). Selecione aopção que é responsável por 
realizar a melhoria contínua do plano de continuidade de negócios:
O PDCA não é adequado para o PCN.
D - Executar.
P - Planejar.
C - Checar.
A - Agir.
Data Resp.: 19/11/2023 12:28:17
Explicação:
A resposta correta é: A - Agir.
 
8. Um Plano de Recuperação de Desastres (PRD) é o documento que define os 
recursos, ações, tarefas e dados requeridos para administrar 
__________________ e __________________ que suportam os Processos de 
Negócio. Selecione a opção que preenche corretamente as lacunas:
as consequências dos desastres previsíveis; na criação de planos de ação.
o plano de continuidade; tratamento dos eventos previsíveis.
o plano de continuidade; tratamento dos eventos imprevisíveis.
o processo de recuperação; restauração dos componentes.
o plano de operação; avaliar os pontos de controle.
Data Resp.: 19/11/2023 12:29:10
Explicação:
A resposta correta é: o processo de recuperação; restauração dos 
componentes.
 
9. O Gerenciamento da Continuidade dos Serviços de Tecnologia Informação 
(GCSTI) é um processo essencial para que o negócio possa voltar a operar com
o suporte dos serviços de TI o mais rápido possível após a ocorrência de um 
cenário de desastre. Selecione a opção que apresenta um possível desafio de 
desenvolvimento de um GCSTI:
Justificar a importância do desenvolvimento da GCSTI.
Obter referências para adoção das melhores práticas apropriadas em TI.
Obter exemplos no mercado de casos de sucesso do desenvolvimento, da 
implantação e da aplicação da GCSTI.
Encontrar apoio profissional no mercado para dar suporte ao 
desenvolvimento da GCSTI.
Criar um GCSTI quando não existirem planos de gerenciamento de 
continuidade de negócios.
Data Resp.: 19/11/2023 12:33:42
Explicação:
A resposta correta é: Criar um GCSTI quando não existirem planos de 
gerenciamento de continuidade de negócios.