Baixe o app para aproveitar ainda mais
Prévia do material em texto
Coletânea de Exercícios – Gestão de Segurança da Informação 1 -‐ Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? a) Valor. b) Vulnerabilidade. c) Impacto. d) Risco. e) Ameaça. 2 -‐ Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma empresa. Neste contexto qual o objetivo fundamental da “Segurança da Informação”? a) Visa à proteção de todos os ativos de uma empresa que contêm informações. b) Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informações. c) Visam à proteção alguns poucos ativos de uma empresa que contêm informações. d) Visa principalmente à proteção dos ativos patrimoniais que contêm informações. e) Visa à proteção dos equipamentos de uma empresa que contêm informações. 3 -‐ Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 (três) aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança da Informação". Quais elementos compõem a tríade da segurança da informação? a) Disponibilidade, Privacidade e Segurabilidade b) Integridade, Legalidade e Confiabilidade c) Autenticidade, Legalidade e Privacidade d) Privacidade, Governabilidade e Confidencialidade e) Confiabilidade, Integridade e Disponibilidade 4 -‐ Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a tecnologia da informação apóia as operações e processos das empresas, qual das opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo? a) O uso da internet para sites de relacionamento; b) O crescimento explosivo da venda de computadores e sistemas livres; c) O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; d) O crescimento explosivo dos cursos relacionados com a tecnologia da informação; e) O Aumento no consumo de softwares licenciados; 5 -‐ O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? a) Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; b) Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; c) Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; d) Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; e) Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; 6 -‐ Com relação à afirmação “São as vulnerabilidades que permitem que as ameaças se concretizem” podemos dizer que: a) A afirmativa é verdadeira. b) A afirmativa é falsa. c) A afirmativa é verdadeira somente para vulnerabilidades físicas. d) A afirmativa é verdadeira somente para ameaças identificadas. e) A afirmativa é verdadeira somente para vulnerabilidades lógicas. 7 – A assinatura digital permite comprovar ______________ e Integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. a) A autenticidade b) A Confidencialidade c) A Legalidade d) O Não-‐repúdio e) A Disponibilidade 8 -‐ Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios considerados como fundamentais para atingir os objetivos da Segurança da Informação: a) Confiabilidade, Disponibilidade e Integridade. b) Confidencialidade, Descrição e Integridade. c) Confiabilidade, Disponibilidade e Intencionalidade. d) Confidencialidade, Indisponibilidade e Integridade. e) Confidencialidade, Disponibilidade e Integridade. 9 -‐ Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que as informações enviadas por ele ao banco e as enviadas do banco para ele são originais, ou seja, não foram alteradas durante a transmissão? Neste caso estamos falando de: a) Integridade b) Não-‐repúdio c) Autenticação d) Disponibilidade e) Confidencialidade 10 -‐ Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como o banco pode garantir-‐se de que, posteriormente, João venha a afirmar que não foi ele quem fez o acesso? Neste caso estamos falando de: a) Não-‐repúdio b) Disponibilidade c) Confidencialidade d) Autenticação e) Integridade 11 -‐ Ao elaborar e comunicar uma Política de Segurança da Informação é necessário: I. Usar uma linguagem conhecida. II. Usar meios adequados aos tipos demensagens e usuários. III. Adotar estilo simples e claro. IV. Respeitar o interlocutor sem superestimá-‐lo nem subestimá-‐lo. V. Respeitar a cultura organizacional e a do país a que se destina. a) As alternativas I, II, IV e V estão corretas, mas a III está errada porque uma política deve ser construída considerando-‐se uma linguagem tecnológica independentemente dos tipos de usuários a que se destina. b) As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam. c) As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única, mesmo para uma multinacional, e as características humanas e legais do país na qual é aplicada não podem interferir na sua tradução. d) As alternativas I, II, III e V estão corretas, mas a IV está errada porque deve supor-‐se que todos os usuários foram selecionados pela empresa, portanto entendem a tecnologia usada. e) As alternativas I, III, IV e V estão corretas, mas a II está errada pois este é um item irrelevante no contexto da política de segurança. 12 -‐ Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao seguinte conceito: "Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas"? a) Valor de negócio. b) Valor de restrição. c) Valor de propriedade. d) Valor de troca. e) Valor de uso. 13 -‐ As ________________________ por si só não provocam acidentes, pois são elementos __________, para que ocorra um incidente de segurança é necessário um agente causador ou uma condição favorável que são as ___________________. a) Ameaças, essenciais, vulnerabilidades b) Ameaças, ativos, vulnerabilidades c) Vulnerabilidades, ativos, ameaças d) Vulnerabilidades, passivos, ameaças e) Ameaças, passivos, vulnerabilidades 14 -‐ Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir. I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. Representam vulnerabilidades dos ativos de informação o que consta em: a) I e III, somente. b) I, II e IV, somente. c) I, II, III e IV. d) II e III, somente. e) I, III e IV, somente. 15 -‐ Uma pesquisa realizada pelos organizadores da Conferência Infosecurity Europe 2003 com trabalhadores de escritórios, que distribuía um brinde (de baixo valor) aos entrevistados, revelou que 75% deles se dispunham a revelar suas senhas em resposta a uma pergunta direta ("Qual é a sua senha?"), e outros 15% responderam a perguntas indiretas que levariam à determinação da senha. Esse experimento evidencia a grande vulnerabilidade dos ambientes computacionais a ataques de que tipo? a) Cavalos de tróia. b) Vírus de computador. c) Back doors. d) Engenharia social. e) Acesso físico. 16 -‐ Ataque ao site do IBGE -‐ Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias instituições governamentais, acredita-‐se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-‐of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque? a) Vulnerabilidade Física b) Vulnerabilidade Comunicação c) Vulnerabilidade Software d) Vulnerabilidade Natural e) Vulnerabilidade Mídias 17 -‐ As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware: a) Instalações prediais fora dos padrões de engenharia ou salasde servidores mal planejadas. b) Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. c) Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). d) Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. e) Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. 18 -‐ Ataque a de modems-‐roteadores ADSL com o uso de uma falha de segurança existente em alguns modelos de equipamento. Na prática, o problema permitia que um hacker alterasse o modem-‐roteador para utilizar um determinado serviço fornecido pelo criminoso em vez do fornecido pelo provedor, redirecionando internautas para sites falsos. O que os hackers fazem é criar uma consulta que terá uma resposta muito grande do servidor de DNS e forjar a origem como se ela fosse o site alvo. Ocorre então uma multiplicação: o hacker consegue enviar uma consulta pequena, mas gerar para o alvo do ataque um tráfego grande. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? a) Vulnerabilidade de Hardware. b) Vulnerabilidade Natural. c) Vulnerabilidade de Comunicação. d) Vulnerabilidade de Mídias. e) Vulnerabilidade Física. 19 -‐ Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador pode ser descrito como sendo um: a) Java Script b) Adware c) Worm d) Spyware e) Active-‐x 20 -‐ Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnica que visa enganar um usuário induzindo-‐o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( ) Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: a) 3, 2, 4, 5, 1. b) 3, 1, 5, 2, 4. c) 5,1,4,3,2. d) 3, 1, 4, 5, 2. e) 5, 2, 4, 3, 1. 21 -‐ Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um: a) cavalo de tróia (trojan horse) b) exploit c) worm d) vírus e) active-‐x 22 -‐ Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? a) Passivo b) Fraco c) Secreto d) Ativo e) Forte 23 -‐ As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade? a) Naturais, Voluntarias e Obrigatórias. b) Ocasionais, Involuntárias e Obrigatórias. c) Naturais, Involuntárias e Voluntarias. d) Naturais, Voluntarias e Vulneráveis. e) Naturais, Involuntárias e Obrigatórias. 24 -‐ Ao analisarmos a afirmativa: “Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça”. Podemos dizer que é: a) falsa, pois não depende do ativo afetado. b) verdadeira c) falsa, pois os impactos são sempre iguais para ameaças diferentes. d) parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. e) falsa, pois não devemos considerar que diferentes ameaças existem. 25 -‐ Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções abaixo Não representa um destes tipos de ataques? a) Ataque à Aplicação b) Ataque aos Sistemas Operacionais c) Ataque de Configuração mal feita d) Ataques Genéricos e) Ataque para Obtenção de Informações 26 -‐ Qual opção abaixo representa a descrição do Passo “Levantamento das Informações” dentre aqueles que são realizados para um ataque de segurança ? a) O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência. b) O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema. c) O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação". d) O atacante tenta manter seu próprio domínio sobre o sistema e) O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento 27 -‐ Qual das opções abaixo descreve um tipo de ataque onde é possível obterinformações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador ? a) Ataque para Obtenção de Informações b) Ataque aos Sistemas Operacionais c) Ataques de códigos pré-‐fabricados d) Ataque á Aplicação e) Ataque de Configuração mal feita 28 -‐ Suponha que um hacker esteja planejando um ataque a uma empresa. Inicialmente irá utilizar diversos artifícios e mecanismos para se aproximar da empresa ou rede a ser atacada. Como se chama este primeiro passo do atacante? a) Engenharia Social b) Acessando a empresa c) Explorando informações. d) Levantamento das Informações de forma ativa e) Levantamento das Informações de forma passiva. 29 -‐ Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de saber o que ocorre nas reuniões tornou-‐se amigo de Maria na intenção que Maria compartilhe as informações confidenciais que possui. Neste caso podemos afirmar que João está realizando um ataque do tipo: a) Conhecimento prévio b) Engenharia social c) Força bruta d) escaneamento e) De conhecimento 30 -‐ A empresa Ypisilon foi invadida através do seu sistema de e-‐commerce. O ataque ocorreu através do envio de informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de: a) SQL injection b) Fragmentação de pacotes IP c) Fraggle d) Buffer Overflow e) Smurf 31 -‐ Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra um determinado risco está muito além das possibilidades da organização e portanto não vale a pena tratá-‐lo. Neste caso você: a) Trata o risco a qualquer custo b) Ignora o risco c) Aceita o risco d) Rejeita o risco e) Comunica o risco 32 -‐ Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-‐las e propor controles (soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" na Análise e Avaliação dos Riscos: a) Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo. b) A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco.O risco é representando em termos de possíveis perdas financeiras. c) Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização. d) Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-‐lo ou impedir que se repita. e) Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. 33 -‐ Referente ao processo de Gestão de incidentes, qual é a sequência na ordem que compõem o processo de gestão de incidentes ? a) Incidente, impacto, ameaça e recuperação b) Incidente, recuperação, impacto e ameaça c) Ameaça, incidente, impacto e recuperação d) Impacto, ameaça, incidente e recuperação e) Ameaça, impacto, incidente e recuperação 34 -‐ A segurança da informação deve ser vista como algo estratégico dentro da organização. E a organização deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da organização criar um plano de gestão voltado para riscos é criando um Plano de Gestão de Risco (PGI). O PGI é composto por 4 fases, quais são elas? a) Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; Mapeamento de impacto b) Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco c) Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; Comunicação do impacto d) Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco e) Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco 35 -‐ Qual o nome do ataque que é muito utilizado em espionagem, onde esse é utilizado para obter informações confidenciais em lixos ? a) Defacement b) Dumpster diving c) Backdoor d) DoS e) Adware 36 -‐ Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de obter informaçõespessoais de usuários de sites da Internet ou site corporativo ? a) Defacement b) Phishing c) Spyware d) Backdoor e) Rootkit 37 -‐ Um Firewall pode ser definido como uma coleção de componentes, colocada entre duas redes, que coletivamente possua propriedades que: a) garantem que todo o tráfego de dentro para fora da rede, e vice-‐ versa, passe por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. b) garantem que todo o tráfego de dentro para fora da rede e vice-‐versa deve ser bloqueado, independentemente da política de segurança adotada. Todo firewall deve ser à prova de violação. c) independentemente da política de segurança adotada, tem como objetivo principal impedir a entrada de vírus em um computador, via arquivos anexados a e-‐mails. d) garantem que apenas o tráfego de fora para dentro da rede deve passar por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. e) garantem que apenas o tráfego de dentro para fora da rede deve passar por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. 38 -‐ Quando devem ser executadas as ações corretivas? a) Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar a sua repetição b) Devem ser executadas para garantir as causas da não-‐conformidade com os requisitos do SGSI de forma a evitar a sua repetição c) Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua repetição d) Devem ser executadas para eliminar as causas da não-‐conformidade com os requisitos do SGSI de forma a evitar a sua repetição e) Devem ser executadas somente para eliminar o resultado da não-‐conformidade com os requisitos do SGSI de forma a evitar a sua repetição 39 -‐ Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais: a) Requisitos de negócio, Análise de risco, Requisitos legais b) Análise de vulnerabilidades, requisitos legais e classificação da informação c) Classificação da informação, requisitos de negócio e análise de risco d) Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais e) Análise de risco, análise do impacto de negócio (BIA), classificação da informação 40 -‐ Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. a) Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. b) Os riscos residuais são conhecidos antes da comunicação do risco. c) A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. d) Aceitar ou reter um risco durante o seu tratamento equivale a transferi-‐lo. e) Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 41 -‐ Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? a) Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. b) Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. c) Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. d) Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. e) Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. 42 -‐ A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é: a) A base de dados e arquivos b) O serviço de iluminação c) A reputação da organização d) O equipamento de comunicação e) O plano de continuidade do negócio. 43 -‐ A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: a) implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado b) implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos desegurança dos Gerentes de TI. c) implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. d) implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. e) implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. 44 -‐ A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: a) Corrigidas e Preventivas. b) Corretivas e Preventivas. c) Corretivas e Correção. d) Corretivas e Corrigidas. e) Prevenção e Preventivas. 45 -‐ No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um Problema de Segurança: a) Restrição Financeira. b) Uma Operação Incorreta ou Erro do usuário. c) Uma tempestade. d) Uma inundação. e) A perda de qualquer aspecto de segurança importante para a organização. 46 -‐ A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ? a) Correção b) Reação c) Desencorajamento d) Limitação e) Preventiva 47 -‐ Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação? a) Auditoria. b) Suporte técnico. c) Conscientização dos usuários. d) Segregação de funções. e) Procedimentos elaborados. 48 -‐ Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: a) Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. b) Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes c) Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. d) Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. e) Definir e medir a eficácia dos controles ou grupos de controle selecionados. 49 -‐ Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? a) Integridade; b) Confidencialidade; c) Não-‐Repúdio; d) Auditoria; e) Autenticidade; 50 -‐ Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade ? a) Análise de vulnerabilidade b) Auditoria interna c) Análise de risco d) Análise de impacto dos negócios (BIA) e) Classificação da informação 51 -‐ Na implantação da Gestão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que: a) As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas b) As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas c) As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas d) As metas e objetivos definidos sejam comprometidos por interrupções inesperadas e) As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas 52 -‐ O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"? a) O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. b) Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviçosda organização e a urgência das atividades que são necessárias para fornecê-‐los. c) Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-‐se parte dos valores da organização, através da sua inclusão na cultura da empresa. d) A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. e) A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. 53 -‐ Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada? a) Confirmar a natureza e extensão do incidente b) Afastar o incidente do cliente c) Controlar o incidente d) Comunicar-‐se com as partes interessadas e) Tomar controle da situação 54 -‐ Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)? a) O PRD é mais abrangente que o PCN. b) O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-‐se na continuidade para todos os processos. c) O PCN só pode ser implementado se o PRD já tiver em uso. d) O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação. e) O PCN foca-‐se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados. 55 -‐ O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de: a) controlar a expiração da sessão do usuário, caso o mesmo possua cookies desabilitados em seu navegador. b) criptografar os dados enviados através do formulário para impedir que os mesmos sejam interceptados em curso. c) confirmar a identidade do usuário. d) confirmar que o formulário está sendo preenchido por um usuário humano e não por um computador. e) testar a aptidão visual do usuário para decidir sobre a folha de estilo CSS a ser utilizada nas páginas subsequentes. 56 -‐ Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INCORRETA : a) Chave Publica e Privada são utilizadas por algoritmos assimétricos b) A Chave Publica pode ser divulgada livremente c) A Chave Publica não pode ser divulgada livremente, somente a Chave Privada d) A Chave Privada deve ser mantida em segredo pelo seu Dono e) Cada pessoa ou entidade mantém duas chaves 57 -‐ A sub-‐rede, também conhecida como rede de perímetro, utilizada para transmitir informações entre uma rede confiável e uma não confiável, mantendo os serviços que possuem acesso externo separados da rede local, é chamada de: a) VPN b) Intranet c) Proxy d) DMZ e) Firewall 58 -‐ O fato de se poder conectar qualquer computador em qualquer lugar a qualquer outro computador pode torná-‐ lo vulnerável. O recurso técnico para proteger essa conexão de dados é através de: a) Esteganografia b) Certificação digital c) Firewall d) PKI e) Proxy 59 -‐ Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e a internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados. a) Adware. b) Firewall. c) Mailing. d) Spyware. e) Antivírus. 60 -‐ Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar : a) Um servidor proxy b) Um firewall com estado c) Um detector de intrusão d) Um roteador de borda e) Um filtro de pacotes 61 -‐ O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará está relacionado com qual conceito de? a) Valor. b) Vulnerabilidade. c) Risco. d) Ameaça. e) Impacto. 62 -‐ Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? a) Valor. b) Impacto. c) Ameaça. d) Risco. e) Vulnerabilidade. 63 -‐ A informação terá valor econômico para uma organização se ela gerar lucroou se for alavancadora de vantagem competitiva. Neste sentido devemos proteger os diferentes momentos vividos por esta informação que a colocam em risco. Os momentos que colocam em risco esta informação e que chamamos de ciclo de vida são: (Assinale a alternativa I N C O R R E T A). a) Manuseio. b) Transporte. c) Consultoria. d) Descarte. e) Armazenamento. 64 -‐ O advento da internet e a globalização transformaram completamente o mundo que vivemos e consequentemente estão revolucionando o modo de operação das empresas . A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Por que as organizações devem proteger as suas informações? a) Somente pelos seus valores qualitativos e financeiros. b) Pelos seus valores internos e qualitativos. c) Pelos seus valores estratégicos e qualitativos. d) Pelos seus valores estratégicos e financeiros. e) Somente pelo seu valor financeiro. 65 -‐ Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a informação, não acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará evitando como também prevenindo a concretização de possíveis ameaças. Baseado neste fato podemos denominar como Vulnerabilidade Física: a) Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas. b) Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto, destruição de propriedades ou de dados, invasões, guerras, etc.). c) Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). d) Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura). e) Acessos não autorizados ou perda de comunicação e a ausência de sistemas de criptografia nas comunicações 66 -‐ As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-‐mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? a) Vulnerabilidade Natural b) Vulnerabilidade Mídia c) Vulnerabilidade de Software d) Vulnerabilidade Física e) Vulnerabilidade Comunicação 67 -‐ Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador pode ser descrito como sendo um: a) Java Script b) Active-‐x c) Spyware d) Worm e) Adware 68 -‐ Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnica que visa enganar um usuário induzindo-‐o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( ) Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: a) 5,1,4,3,2. b) 3, 1, 4, 5, 2. c) 3, 1, 5, 2, 4. d) 3, 2, 4, 5, 1. e) 5, 2, 4, 3, 1. 69 -‐ Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das opções abaixo Não representa um destes passos? a) Obtenção de Acesso b) Levantamento das Informações c) Exploração das Informações d) Divulgação do Ataque e) Camuflagem das Evidências 70 -‐Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: O ataque explora a metodologia de estabelecimento de conexões do protocolo TCP, baseado no three-‐way-‐handshake. Desta forma um grande número de requisições de conexão (pacotes SYN) é enviando, de tal maneira que o servidor não seja capaz de responder a todas elas. A pilha de memória sofre então um overflow e as requisições de conexões de usuários legítimos são, desta forma, desprezadas, prejudicando a disponibilidade do sistema.. Qual seria este ataque: a) Ip Spoofing. b) Syn Flooding. c) Port Scanning. d) Fraggle. e) Packet Sniffing. 71 -‐ Política de segurança é composta por um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção conveniente, de modo a garantira sua confidencialidade, integridade e disponibilidade. Após sua criação ela deve ser: a) Armazenada em local seguro com acesso apenas por diretores e pessoas autorizadas. b) Escondida de toda a organização para garantir sua confidencialidade, integridade e disponibilidade. c) Comunicada a toda a organização para os usuários de uma forma que seja relevante, acessível e compreensível para o público-‐alvo. d) Comunicada apenas ao setor de tecnologia da informação de maneria rápida para que todos possam se manter focados no trabalho. e) Comunicada apenas aos usuários que possuem acesso à Internet. 72 -‐ Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 (três) aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança da Informação". Quais elementos compõem a tríade da segurança da informação? a) Disponibilidade, Privacidade e Segurabilidade b) Privacidade, Governabilidade e Confidencialidade c) Autenticidade, Legalidade e Privacidade d) Integridade, Legalidade e Confiabilidade e) Confiabilidade, Integridade e Disponibilidade 73 -‐ Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Segundo os conceitos da Segurança da Informação, onde devemos proteger as informações? a) Nos Riscos. b) Nas Ameaças. c) Nos Ativos . d) Nas Vulnerabilidades. e) Nas Vulnerabilidades e Ameaças. 74 -‐ A informação é um ativo importante dentro da organização, e que deve ser protegido em todas as fases do seu ciclo de vida. Aponte dentre as alternativas abaixo aquela que corresponde ao correto ciclo de vida da informação: a) Geração, Transporte, Armazenamento, Manuseio e Descarte. b) Criação, Edição, Correção, Manuseio e Descarte c) Desarquivamento, Transporte, Edição, Manuseio e Descarte d) Geração, Edição, Correção, Divulgação e Descarte e) Geração, Transporte, Publicação, Apreciação e Arquivamento. 75 -‐ Observe a figura acima e complete corretamente a legenda dos desenhos: a) Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos b) Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos c) Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios d) Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios e) Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios 76 -‐ Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir. I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. Representam vulnerabilidades dos ativos de informação o que consta em: a) I, II, III e IV. b) II e III, somente. c) I, II e IV, somente. d) I e III, somente. e) I, III e IV, somente. 77 -‐ Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? a) Captura de senhas bancárias e números de cartões de crédito; b) Alteração ou destruição de arquivos; c) Monitoramento de URLs acessadas enquanto o usuário navega na Internet d) Captura de outras senhas usadas em sites de comércio eletrônico; e) Alteração da página inicial apresentada no browser do usuário; 78 -‐ Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( )Técnica que visa enganar um usuário induzindo-‐o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( )Software que insere propagandas em outros programas. ( )Brecha inserida pelo próprio programador de um sistema para uma invasão. ( )Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( )Programa espião. A sequencia correta é: a) 3, 2, 4, 5, 1. b) 3, 1, 4, 5, 2. c) 5,1,4,3,2. d) 5, 2, 4, 3, 1. e) 3, 1, 5, 2, 4. 79 -‐ Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? a) Ativo b) Passivo c) Forte d) Fraco e) Secreto 80 -‐ Qual opção abaixo representa a descrição doPasso “Levantamento das Informações” dentre aqueles que são realizados para um ataque de segurança ? a) O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação". b) O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento c) O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema. d) O atacante tenta manter seu próprio domínio sobre o sistema e) O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência. 81 -‐ O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? a) Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; b) Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; c) Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; d) Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; e) Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; 82 -‐ Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das opções abaixo não representa um exemplo de Ativo Intangível: a) Sistema de Informação. b) Imagem da Empresa no Mercado. c) Marca de um Produto. d) Qualidade do Serviço. e) Confiabilidade de um Banco. 83 -‐ A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para: a) A gestão dos usuários. b) A gestão dos negócios da organização . c) A gestão do ciclo da informação interna. d) A gestão da área comercial. e) A gestão de orçamento. 84 -‐ O advento da internet e a globalização transformaram completamente o mundo que vivemos e consequentemente estão revolucionando o modo de operação das empresas . A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Por que as organizações devem proteger as suas informações? a) Somente pelo seu valor financeiro . b) Pelos seus valores estratégicos e qualitativos. c) Somente pelos seus valores qualitativos e financeiros. d) Pelos seus valores estratégicos e financeiros. e) Pelos seus valores internos e qualitativos. 85 -‐ A empresa de segurança cibernética IntelCrawler descobriu no dia 17 de janeiro de 2014 ao menos seis ataques em andamento contra varejistas nos Estados Unidos cujos sistemas de cartão de crédito estão infectados com o mesmo tipo de software malicioso usado para roubar dados de cerca de 40 milhões de cartões de crédito da rede Target. O software malicioso que foi usado para tal feito foi o BlackPOS. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? a) Vulnerabilidade de Mídias. b) Vulnerabilidade Física. c) Vulnerabilidade Natural. d) Vulnerabilidade de Comunicação. e) Vulnerabilidade Software. 86 -‐ As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware: a) Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). b) Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. c) Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. d) Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. e) Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. 87 -‐ Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: a) Medidas Corretivas e Reativas b) Medidas Preventivas c) Medidas Perceptivas d) Métodos Detectivos e) Métodos Quantitativos 88 -‐ As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua intencionalidade: a) Voluntária, involuntária e intencional b) Intencional, presencial e remota c) Natural, voluntária e involuntária d) Natural, presencial e remota e) Intencional, proposital e natural 89 -‐ A empresa Ypisilon foi invadida através do seu sistema de e-‐commerce. O ataque ocorreu através do envio
Compartilhar