BDQ- Gestão de Segurança da Informação 2016

Prévia do material em texto

Gestão de segurança da informação
Discursivas 
As ameaças aproveitam das falhas de segurança da organização, que é considerado como ponto fraco, provocando possíveis danos, perdas e prejuízos aos negócios da empresa. Elas são constantes podendo acontecer a qualquer momento, tornando-se um ataque. Quais os passos que normalmente seguem os atacantes: 
Gabarito: Levantamento das informações, Exploração das informações, Obtenção do acesso, Manutenção do acesso, Camuflagem das evidências
Uma vez definido nosso foco de atuação, os profissionais de segurança têm à sua disposição diversas estratégias de proteção, sendo algumas mais úteis em determinadas situações que outras, mas, no geral, elas podem estar presentes no ambiente como um todo, se sobrepondo e se complementando. Dito isso defina com suas palavras o que é uma VPN (Virtual Private Networks): 
Gabarito: - Interligam várias Intranets através da Internet - Usam o conceito de tunelamento: Dados são criptografados e autenticados. Usa conexões TCP comuns Túneis podem ser pré-estabelecidos - Permitem acessos remotos com segurança
Cada empresa ao tratar a segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios fundamentais da segurança da informação. Fale sobre cada um dos três princípios
Gabarito: Disponibilidade: Garantia de que só usuários autorizados obtêm acesso à informação e aos ativos
correspondentes sempre que necessário. Integridade: Salvaguardar a exatidão e completeza da informação e dos métodos de processamento. Confidencialidade: Garantia de que os usuários autorizados obtém acesso à informação e aos ativos correspondentes sempre que necessários
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto, explique o elemento "Desenvolvendo e Implementando" do GCN:
Gabarito: Desenvolvendo e implementando: O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente, para manter ou restaurar as operações.
"Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma abertura que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à Internet, ao explorar tal abertura, pode obter acesso não autorizado ao computador".
No tratamento dos aspectos envolvidos na segurança em sistemas de informação, a relação entre ameaça e vulnerabilidade está intrinsecamente relacionada. Caracterize a diferença entre elas.
Gabarito: Quando você se sente ameaçado seja por qualquer tipo de fator ou circunstância, não necessariamente você se sente vulnerável. Mas quando você se considera vulnerável a alguma situação ou momento, instintivamente você se vê, ou se acha ameaçado. Não é uma regra, mas vale principalmente no contexto do que se diz respeito a sistemas de informações.
A preservação da confidencialidade, integridade e disponibilidade da informação utilizada nos sistemas de informação requer medidas de segurança, que por vezes são também utilizadas como forma de garantir a autenticidade e o não repúdio. As medidas de segurança podem ser classificadas, em função da maneira como abordam as ameaças, em duas grandes categorias. Quais são elas e como são definidas?
Gabarito: A prevenção: é o conjunto das medidas que visam reduzir a probabilidade de concretização das ameaças existentes. O efeito destas medidas extingue-se quando uma ameaça se transforma num incidente. A proteção: é o conjunto das medidas que visão dotar os sistemas de informação com capacidade de inspeção, detecção, reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. Naturalmente, estas medidas só atuam quando ocorre um incidente.
No cenário da figura abaixo estão dois generais.
 
Um em cada cume do complexo montanhoso ao fundo. Bem abaixo, no vale sombrio, se esconde o mais terrível inimigo o qual só pode ser derrotado se for atacado simultaneamente pelos exércitos dos dois generais. Ponha-se no lugar dos generais e diga como você faria para combinar um ataque ao inimigo. Dados para a montagem da estratégia: 1: Você dispõe apenas de mensageiros que carregam mensagens escritas; 2: Você não sabe onde está o inimigo, sabe apenas que ele se concentra no vale; 3: Você não confia plenamente nos seus mensageiros. Estabeleça a forma de ataque, considerando as técnicas de ataque mencionadas na sua aula 5.
Resposta: Levantamento das Informações, depois Exploração das Informações, Obtenção, Manutenção e Camuflagem
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque de Buffer Overflow? 
Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. O ataque de Buffer overflow consiste em enviar para um programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados
No contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, como as organizações conseguem identificar as atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade?
Gabarito: Através da análise de impacto dos negócios (BIA) que documenta o impacto das atividades que suportam os produtos e serviços de uma organização
No contexto da segurança da informação, defina os conceitos de Ativo, Vulnerabilidade e Ameaça. 
Gabarito: Ativo: qualquer coisa que tenha valor para a organização. Vulnerabilidade: A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. Ameaça: Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas
No âmbito da segurança da Informação, uma das etapas de implementação é a classificação da Informação. Em que consiste o processo de classificação da Informação? 
Gabarito: O processo de classificação da informação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas
Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança é um aspecto importante na identificação de medidas adequadas de segurança. Qual a diferença entre análise de vulnerabilidade, teste de vulnerabilidade e pesquisa de vulnerabilidade? 
Gabarito: Análise vulnerabilidade: Verificar a existência de falhas de segurança no ambiente de TI das empresas. Teste de vulnerabilidade: Determinação de que falhas de segurança podem ser aplicadas à máquina ou rede alvo. Pesquisa de vulnerabilidade: Significa descobrir as falhas e deficiência em um produto ou aplicação que podem comprometer a segurança
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo Fraggle e do tipo Smurf. 
Gabarito: Um ataque do tipo Fraggle consistem no envio de um excessivo número de pacotes PING para o domínio de broadcast da rede, tendo como endereço IP de origem, a vítima desejada. Já um ataque do tipo smurf é idêntico ao ataque Fraggle, alterando apenas o fato que utiliza-se de pacotes do protocolo UDP
Dado o caráter abstrato e intangível da informação, seu valor está associado a um contexto. A informaçãoterá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Neste sentido descreva o ciclo de vida da informação, identificando os momentos vividos pela informação.
Gabarito: Manuseio: Momento em que a informação é criada e manipulada. Armazenamento: Momento em que a informação é armazenada. Transporte: Momento em que a informação é transportada. Descarte: Momento em que a informação é descartada
A análise de vulnerabilidade permite que os profissionais de segurança e TI da empresa possam ter maior conhecimento do ambiente de TI e seus problemas. Qual das opções abaixo não é um exemplo de teste de vulnerabilidade lógica em maquinas de uma rede alvo? 
Gabarito: Ruídos elétricos na placa wireless. 
A empresa ABC está desenvolvendo uma política de segurança da Informação e uma de suas maiores preocupações é com as informações críticas e sigilosas da empresa. Como estas informações impressas em papel serão descartadas. Qual o tipo de ataque está preocupando a empresa ABC? 
Gabarito: Dumpster diving ou trashing
A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de: 
Gabarito: Buffer Overflow 
A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar lucros ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das opções abaixo apresenta os quatro aspectos importantes para a classificação das informações? 
Gabarito: Confidencialidade, integridade, disponibilidade e valor. 
A NBR ISO/IEC 27002 orienta que a organização assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança: 
Gabarito: Segurança em Recursos Humanos. 
 A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança? 
Gabarito: Gestão da Continuidade do Negócio 
A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise: 
Gabarito: A avaliação dos riscos e incidentes desejados; 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
Gabarito: Corretivas e Preventivas. 
A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo (inseguro), é conhecida como:
Gabarito: zona desmilitarizada (DMZ). 
A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor este princípio: 
Gabarito: Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado. 
A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção? 
Gabarito: Preventiva. 
A utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan, scanner de vulnerabilidade e network mapping pode estar associada a qual dos Passos abaixo realizados por um Atacante? 
Gabarito: Exploração das Informações 
Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças? 
Gabarito: Interna e Externa 
Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves assimétricas, sendo uma delas pública e a outra privada, emitidas por autoridade certificadora confiável. Uma mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana 3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores. A mensagem de Ana para Bernardo deve ser assinada com a chave privada de Bernardo e criptografada com a chave pública de Ana.
Gabarito: com a chave privada de Ana e criptografada com a chave pública de Bernardo. 
Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade¿ Esta afirmação é: 
Gabarito: verdadeira, pois a classificação da informação pode ser sempre reavaliada. 
Analise a frase abaixo: ¿Capacidade de uma organização de resistir aos efeitos de um incidente.¿ Assinale qual das opções representa o conceito correto da frase acima: 
Gabarito: Resiliência 
Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para isso implementou um programa que que irá coletar informações pessoais e financeiros da vítima. Para obter sucesso no ataque, Antônio irá induzir o acesso a página fraudulenta através do envio de uma mensagem não solicitada. Neste caso estávamos nos referindo ao ataque do tipo: 
Gabarito: Phishing Scan 
Ao analisarmos a afirmativa: “Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça”. Podemos dizer que é:
Gabarito: verdadeira. 
Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque? 
Gabarito: Camuflagem das Evidências 
As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. As ameaças inconscientes, quase sempre causadas pelo desconhecimento poderão ser classificadas como:
Gabarito: Involuntárias. 
As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade? 
Gabarito: Naturais, Involuntárias e Voluntarias. 
As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você achaque foi a vulnerabilidade para este ataque?
Gabarito: Vulnerabilidade de Software 
As proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo e podemos classificá-las de acordo com a sua ação e o momento em que ocorre. Qual das opções abaixo não corresponde à classificação das proteções de acordo com a sua ação e o momento na qual ela ocorre: 
Gabarito: Vulnerabilidade. 
As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma organização, a todo instante os negócios, seus processos e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação? 
Gabarito: Fragilidade presente ou associada a ativos que manipulam ou processam informações. 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade de Software: 
Gabarito: Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários 
Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando: "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para várias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e críticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque?
Gabarito: Vulnerabilidade Software 
Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? 
Gabarito: Vulnerabilidade de Software 
Baseado no conceito de que as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo e que podemos classificá-las de acordo com a sua ação e o momento em que ocorre. Qual das opções abaixo não corresponde à classificação das proteções de acordo com a sua ação e o momento na qual ela ocorre:
Gabarito: Destrutivas. 
Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:
Gabarito: implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado. 
Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como a tecnologia da informação tem apoiado as operações das empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de ¿Informação¿? 
Gabarito: Deve ser disponibilizada sempre que solicitada. 
Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos dizer que: 
Gabarito: A afirmativa é verdadeira.
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. 
Gabarito: A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 
Como não existe uma única causa para o surgimento das vulnerabilidades, diferentes tipos de vulnerabilidade podem estar presentes em diversos ambientes computacionais. Qual das opções abaixo "NÃO" representa um exemplo de tipo de vulnerabilidade? 
Gabarito: Administrativa 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Neste contexto qual das opções abaixo indica o tipo de “valor da informação” que pode ser atribuído ao seguinte conceito: ”É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda) ”. 
Gabarito: Valor de troca. 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para as organizações quando tratamos de Segurança da Informação? 
Gabarito: Valor de orçamento. 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Segundo os conceitos da Segurança da Informação, onde devemos proteger as informações? 
Gabarito: Nos Ativos. 
Considere que uma organização deseje verificar a existência de falhas de segurança em seu ambiente de TI, através de um levantamento detalhado deste ambiente para que possa implementar controles eficientes sobre seus ativos. Para isso, selecione qual das opções abaixo aponta a melhor ferramenta que esta organização deverá utiliza para esta verificação: 
Gabarito: Análise de Vulnerabilidade. 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à:
Gabarito: Disponibilidade; 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿auditores¿. Um usuário de um outro grupo, o grupo ¿estudante¿, tenta acessar o sistema em busca de uma informação que somente o grupo ¿auditores¿ tem acesso e consegue. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: 
Gabarito: Confidencialidade;
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de segurança¿, podemos dizer que: 
Gabarito: A afirmação é verdadeira. 
Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedades e que permitem a organização destes ativos em grupos com características semelhantes no que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções abaixo define a classificação dos tipos de ativos? 
Gabarito: Tangível e Intangível.
Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da Informação: 
Gabarito: Tudo aquilo que tem valor para a organização. 
 
Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar a conexão ou não a um serviço em uma rede modo indireto? 
Gabarito: Firewall Proxy 
Existemdiferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções abaixo não representa um destes tipos de ataques?
Gabarito: Ataques Genéricos 
João configurou nas máquinas servidoras da empresa que trabalha o serviço de Log de forma a registrar as operações realizadas pelos usuários se serviços do sistema. Neste caso, João está implementando uma propriedade de segurança relacionada à(o): 
Gabarito: Não-Repúdio; 
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? 
Gabarito: SYN Flooding 
João e Pedro são administradores de sistemas de uma importante empresa e estão instalando uma nova versão do sistema operacional Windows para máquinas servidoras. Durante a instalação Pedro percebeu que existem uma série de exemplos de códigos já prontos para serem executados, facilitando assim o trabalho de administração do sistema. Qual o tipo de ataque que pode acontecer nesta situação? 
Gabarito: Shrink Wrap Code 
Na gestão de risco, o registro da debilidade no sistema atual de proteção em relação a todas as ameaças em potencial, é realizado durante a atividade: 
Gabarito: vulnerabilidade dos ativos. 
Na implantação da Gestão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que: 
Gabarito: As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas 
Na vulnerabilidade dos sistemas, o cavalo de troia e os applets mal-intencionados são exemplos de métodos de ataque do tipo: 
Gabarito: fraude de programação. 
Não se pode dizer que há segurança da informação, a menos que ela seja controlada e gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente. Para estabelecer o SGSISISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir:
Gabarito: Identificar, analisar e avaliar os riscos. 
Nas estratégias contingência implementadas pelas empresas, qual das opções abaixo NÃO é considerada uma estratégia de contingência? 
Gabarito: Small Site 
No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a justificativa de defender a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado hospedagem, bloqueado recursos financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo vazamento de mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a vulnerabilidade neste ataque? 
Gabarito: Vulnerabilidade de Software 
No contexto da Segurança da Informação, à medida que indica a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos que ela trará está relacionada com qual conceito de? 
Gabarito: Risco.
O advento da internet e a globalização transformaram completamente o mundo que vivemos e consequentemente estão revolucionando o modo de operação das empresas. A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Por que as organizações devem proteger as suas informações? 
Gabarito: Pelos seus valores estratégicos e financeiros. 
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apoia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas?
Gabarito: Apoio ao uso da Internet e do ambiente wireless 
O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual conceito?
Gabarito: Ameaça. 
O Exploit é um termo muito utilizado em segurança da informação. Qual das opções abaixo descreve o que conceito de um Exploit? 
Gabarito: Um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das vulnerabilidades de um sistema computacional.
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? 
Gabarito: Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; 
O que ocorre quando uma ameaça explora uma ou mais vulnerabilidades de um ativo segundo os conceitos da Segurança da Informação? 
Gabarito: Um Incidente de Segurança. 
O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará está relacionado com qual conceito de?
Gabarito: Impacto.
O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Neste contexto qual das opções abaixo poderá definir melhor o conceito de “Dado”?
Gabarito: Elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação. 
Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada? 
Gabarito: Afastar o incidente do cliente 
Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é correto afirmar que? 
Gabarito: A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave 
Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias:
Gabarito: Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões. 
Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta? 
Gabarito: Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Disponibilidade das Informações. 
Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das opções abaixo não representa um destes passos? 
Gabarito: Divulgação do Ataque 
Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um: 
Gabarito: cavalo de tróia (trojan horse) 
Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem implementar para a identificação das atividades críticase que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade?
Gabarito: Análise de impacto dos negócios (BIA) 
Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? 
Gabarito: Alteração ou destruição de arquivos; 
Qual das opções abaixo apresenta a Norma que orienta as organizações na estruturação e implementação da continuidade de negócio? 
Gabarito: NBR ISO/IEC 15999:1 
Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000? 
Gabarito: ISO/IEC 27005 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são detalhadas no plano operacional, as configurações de um determinado produto ou funcionalidade que devem ser feitas para implementar os controles e tecnologias estabelecidas pela norma. 
Gabarito: Procedimentos. 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes? 
Gabarito: Normas. 
Qual das opções abaixo completa a sentença: ¿Quanto maior a probabilidade de uma determinada ameaça ocorrer e o impacto que ela trará, maior será _________.¿ 
Gabarito: O risco associado a este incidente. 
Qual das opções abaixo consiste em enviar para um programa que espera por uma entrada de dados quaisquer informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados? 
Gabarito: Buffer Overflow 
Qual das opções abaixo descreve melhor conceito de “Ameaça” quando relacionado com a Segurança da Informação: 
Gabarito: Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da Informação:
Gabarito: Probabilidade de uma ameaça explorar uma vulnerabilidade 
Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador? 
Gabarito: Ataque para Obtenção de Informações. 
Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão?
Gabarito: DDos 
Qual das opções abaixo não apresenta uma das quatro categorias conhecidas de Ataques? 
Gabarito: Aceitação de Serviço 
Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no estudo e implementação de um processo de gestão de segurança em uma organização? 
Gabarito: Insegurança. 
Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus componentes? 
Gabarito: Redes Não Confiáveis - Não é possível informar se necessitam de proteção. 
Qual das opções abaixo não representa uma das etapas da Gestão de Risco:
Gabarito: Manter e melhorar os riscos identificados nos ativos 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos com menções mais subjetivas, tais como alto, médio e baixo:
Gabarito: Método Qualitativo 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos numéricos para os componentes associados ao risco.
Gabarito: Método Quantitativo. 
Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código malicioso ou Malware?
Gabarito: active-x 
Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e a internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados. 
Gabarito: Firewall. 
Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são realizados para um ataque de segurança?
Gabarito: O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação".
Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso?
Gabarito: Ativo
Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? 
Gabarito: Passivo 
Quando uma informação é classificada como aquela que é interna, restrita a um grupo seleto dentro da organização. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro, sendo vital para a companhia podemos então afirmar que ela possui qual nível de segurança?
Gabarito: Secreta. 
Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Levantamento das informações" nesta receita: 
Gabarito: É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. 
Se um invasor mal-intencionado desejasse utilizar de uma ferramenta para mapear potenciais vulnerabilidades em computadores, assegurar o acesso futuro a estes computadores e remover as evidências de suas ações, qual ferramenta (malware) ele utilizaria como sendo a mais eficaz dentre as apresentadas nas opções abaixo? 
Gabarito: Rootkit
Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos? 
Gabarito: Diretrizes; Normas e Procedimentos 
Segundo a RFC 2828 os ataques podem ser definidos como “um ataque à segurança do sistema, derivado de uma ameaça inteligente, ou seja, um ato inteligente que é uma tentativa deliberada de burlar os serviços de segurança e violar a política de segurança de um sistema”. Os ataques ser classificados como: 
Gabarito: Passivo e Ativo 
Segundo os conceitos da Segurança da Informação podemos classificar as medidas de proteção de acordo com a sua ação e o momento em que ocorre. Baseado nesta premissa, podemos afirmar que a medida de proteção classificada como “Limitação” possui a finalidade de: 
Gabarito: Diminuir danos causados. 
Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações? 
Gabarito: Administrativa, Física e Lógica. 
Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de ¿Ativo de Informação¿?
Gabarito: São aqueles que produzem, processam, transmitem ou armazenam informações. 
Suponha que um hacker esteja planejando um ataque a uma empresa. Qual o tipo de ataque ele irá utilizar para realizar o levantamento das informações em relação à empresa ou rede a ser atacada? 
Gabarito: O ataque do tipo passivo, pois tem como objetivo de bisbilhotar ou monitora transmissões. 
Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a tecnologia da informação apoia as operações e processos das empresas, qual das opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo?Gabarito: O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações 
Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos sem causar danos à organização, podemos afirmar que ela possui qual nível de segurança? 
Gabarito: Irrestrito. 
Um Firewall pode ser definido como uma coleção de componentes, colocada entre duas redes, que coletivamente possua propriedades que:
Gabarito: garantem que todo o tráfego de dentro para fora da rede, e vice-versa, passe por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. 
Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de: 
Gabarito: SQL Injection
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar":
Gabarito: Esta barreira deve munir a solução de segurança de dispositivos que sinalizem, alertem e instrumentem os gestores da segurança na detecção de situações de risco. 
Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu objetivo o invasor tentará levantar estas informações através da escuta das portas do protocolo TCP e UDP. Neste caso estamos nos referindo a um ataque do tipo: 
Gabarito: Port Scanning
Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador pode ser descrito como sendo um: 
Gabarito: vírus 
Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador pode ser descrito como sendo um: 
Gabarito: Adware 
Você está trabalhando em um projeto de classificação de informação e sua empresa trabalha no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança? 
Gabarito: Confidencial. 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações que você deve realizar: 
Gabarito: Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização. 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida:
Gabarito: A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. 
Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? 
Gabarito: na rede interna da organização 
Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? 
Gabarito: na Zona Desmilitarizada (DMZ) protegida 
Você está trabalhando em um projeto de segurança e necessita identificar os principais tipos de ameaças que podem comprometer a segurança da informação na sua empresa. Foram detectados em algumas máquinas programas que permitem o retorno de um invasor a um computador comprometido utilizando serviços criados ou modificados para este fim e sem precisar recorrer aos métodos utilizados na invasão. Neste caso podemos classificar esta ameaça como sendo um: 
Gabarito: Backdoor 
Você precisa elaborar um relatório com o resultado da análise de vulnerabilidades que foi realizada na sua empresa. Você percebeu que no levantamento das vulnerabilidades do ambiente de TI foram encontradas inconsistências. Qual das opções abaixo não pode ser considerada como um exemplo de um tipo de vulnerabilidade que pode ser encontrada num ambiente de TI? 
Gabarito: Falha na transmissão de um arquivo por uma eventual queda de energia
Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar: 
Gabarito: Um servidor proxy 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infraestrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de alarmes. Neste caso que tipo de barreira você está implementando? 
Gabarito: Desencorajar
Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco:
Gabarito: Risco residual 
Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque DDoS e foi descrito como o maior já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕES de blogs, incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre eles, estão inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcançou vários Gigabits por segundo e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do Wordpress, a investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. Qual você acha que foi a vulnerabilidade para este ataque?
Gabarito: Vulnerabilidade Software