Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
Coletânea de Exercícios – Gestão de Segurança da Informação 2016
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Compartilhar
Prévia do material em texto
Coletânea
de
Exercícios
–
Gestão
de
Segurança
da
Informação
1
-‐
Existe
uma
série
de
fatores
que
impactam
na
segurança
de
uma
organização.
A
ausência
de
um
mecanismo
de
proteção
ou
falhas
em
um
mecanismo
de
proteção
existente
está
relacionada
com
o
conceito
de?
a) Valor.
b) Vulnerabilidade.
c) Impacto.
d) Risco.
e) Ameaça.
2
-‐
Em
meio
a
tantas
mudanças
tecnológicas,
sociológicas
e
comportamentais
surgem
também
muitos
desafios
de
negócios
e
gerenciais
no
desenvolvimento
e
implementação
de
novos
usos
da
tecnologia
da
informação
em
uma
empresa.
Neste
contexto
qual
o
objetivo
fundamental
da
“Segurança
da
Informação”?
a) Visa
à
proteção
de
todos
os
ativos
de
uma
empresa
que
contêm
informações.
b) Visa
à
proteção,
com
o
foco
na
internet
da
empresa,
dos
ativos
que
contêm
informações.
c) Visam
à
proteção
alguns
poucos
ativos
de
uma
empresa
que
contêm
informações.
d) Visa
principalmente
à
proteção
dos
ativos
patrimoniais
que
contêm
informações.
e) Visa
à
proteção
dos
equipamentos
de
uma
empresa
que
contêm
informações.
3
-‐
Para
se
garantir
a
segurança
da
informação
em
um
ambiente
corporativo
é
necessário
garantir
3
(três)
aspectos
de
segurança
da
informação,
aspectos
denominados
de
"Tríade
da
Segurança
da
Informação".
Quais
elementos
compõem
a
tríade
da
segurança
da
informação?
a) Disponibilidade,
Privacidade
e
Segurabilidade
b) Integridade,
Legalidade
e
Confiabilidade
c) Autenticidade,
Legalidade
e
Privacidade
d) Privacidade,
Governabilidade
e
Confidencialidade
e) Confiabilidade,
Integridade
e
Disponibilidade
4
-‐
Tendo
em
vista
a
mudança
de
paradigma
no
modo
como
as
empresas
e
as
pessoas
trabalham
e
a
forma
como
a
tecnologia
da
informação
apóia
as
operações
e
processos
das
empresas,
qual
das
opções
abaixo
poderá
ser
escolhida
como
sendo
aquela
que
possui
os
elementos
fortemente
responsáveis
por
este
processo?
a) O
uso
da
internet
para
sites
de
relacionamento;
b) O
crescimento
explosivo
da
venda
de
computadores
e
sistemas
livres;
c) O
crescimento
explosivo
da
internet
e
das
suas
respectivas
tecnologias
e
aplicações;
d) O
crescimento
explosivo
dos
cursos
relacionados
com
a
tecnologia
da
informação;
e) O
Aumento
no
consumo
de
softwares
licenciados;
5
-‐
O
papel
estratégico
dos
sistemas
de
informação
nas
empresas
cresce
a
cada
dia.
Qual
das
opções
abaixo
não
pode
ser
considerada
como
sendo
um
dos
"Propósitos
da
Informação"
dentro
das
empresas
e
organizações?
a) Habilitar
a
empresa
a
alcançar
seus
objetivos
pelo
uso
eficiente
dos
recursos
financeiros;
b) Habilitar
a
empresa
a
alcançar
seus
objetivos
pelo
uso
eficiente
da
sua
tecnologia;
c) Habilitar
a
empresa
a
alcançar
seus
objetivos
de
ineficácia
nos
processos;
d) Habilitar
a
empresa
a
alcançar
seus
objetivos
pelo
uso
eficiente
dos
recursos
materiais;
e) Habilitar
a
empresa
a
alcançar
seus
objetivos
pelo
uso
eficiente
dos
equipamentos;
6
-‐
Com
relação
à
afirmação
“São
as
vulnerabilidades
que
permitem
que
as
ameaças
se
concretizem”
podemos
dizer
que:
a) A
afirmativa
é
verdadeira.
b) A
afirmativa
é
falsa.
c) A
afirmativa
é
verdadeira
somente
para
vulnerabilidades
físicas.
d) A
afirmativa
é
verdadeira
somente
para
ameaças
identificadas.
e) A
afirmativa
é
verdadeira
somente
para
vulnerabilidades
lógicas.
7
–
A
assinatura
digital
permite
comprovar
______________
e
Integridade
de
uma
informação,
ou
seja,
que
ela
foi
realmente
gerada
por
quem
diz
ter
feito
isto
e
que
ela
não
foi
alterada.
a) A
autenticidade
b) A
Confidencialidade
c) A
Legalidade
d) O
Não-‐repúdio
e) A
Disponibilidade
8
-‐
Cada
empresa
ao
tratar
segurança
da
informação
e
independentemente
de
sua
área
de
negócio
e
dos
objetivos
de
segurança
que
deseje,
normalmente
irá
utilizar
um
ou
os
três
princípios
considerados
como
fundamentais
para
atingir
os
objetivos
da
Segurança
da
Informação:
a) Confiabilidade,
Disponibilidade
e
Integridade.
b) Confidencialidade,
Descrição
e
Integridade.
c) Confiabilidade,
Disponibilidade
e
Intencionalidade.
d) Confidencialidade,
Indisponibilidade
e
Integridade.
e) Confidencialidade,
Disponibilidade
e
Integridade.
9
-‐
Suponha
que
João
deseja
utilizar
os
serviços
oferecidos
via
Internet
por
seu
banco.
Como
João
pode
ter
certeza
de
que
as
informações
enviadas
por
ele
ao
banco
e
as
enviadas
do
banco
para
ele
são
originais,
ou
seja,
não
foram
alteradas
durante
a
transmissão?
Neste
caso
estamos
falando
de:
a) Integridade
b) Não-‐repúdio
c) Autenticação
d) Disponibilidade
e) Confidencialidade
10
-‐
Suponha
que
João
deseja
utilizar
os
serviços
oferecidos
via
Internet
por
seu
banco.
Como
o
banco
pode
garantir-‐se
de
que,
posteriormente,
João
venha
a
afirmar
que
não
foi
ele
quem
fez
o
acesso?
Neste
caso
estamos
falando
de:
a) Não-‐repúdio
b) Disponibilidade
c) Confidencialidade
d) Autenticação
e) Integridade
11
-‐
Ao
elaborar
e
comunicar
uma
Política
de
Segurança
da
Informação
é
necessário:
I.
Usar
uma
linguagem
conhecida.
II.
Usar
meios
adequados
aos
tipos
demensagens
e
usuários.
III.
Adotar
estilo
simples
e
claro.
IV.
Respeitar
o
interlocutor
sem
superestimá-‐lo
nem
subestimá-‐lo.
V.
Respeitar
a
cultura
organizacional
e
a
do
país
a
que
se
destina.
a) As
alternativas
I,
II,
IV
e
V
estão
corretas,
mas
a
III
está
errada
porque
uma
política
deve
ser
construída
considerando-‐se
uma
linguagem
tecnológica
independentemente
dos
tipos
de
usuários
a
que
se
destina.
b) As
alternativas
I,
II,
III,
IV
e
V
estão
corretas,
pois
ao
elaborar
uma
política
é
necessário
que
ela
seja
ajustada
a
cada
instituição
e
deve
ser
comunicada
de
maneira
que
todos
entendam.
c) As
alternativas
I,
II,
III
e
IV
estão
corretas,
mas
a
V
está
errada
porque
a
política
é
única,
mesmo
para
uma
multinacional,
e
as
características
humanas
e
legais
do
país
na
qual
é
aplicada
não
podem
interferir
na
sua
tradução.
d) As
alternativas
I,
II,
III
e
V
estão
corretas,
mas
a
IV
está
errada
porque
deve
supor-‐se
que
todos
os
usuários
foram
selecionados
pela
empresa,
portanto
entendem
a
tecnologia
usada.
e) As
alternativas
I,
III,
IV
e
V
estão
corretas,
mas
a
II
está
errada
pois
este
é
um
item
irrelevante
no
contexto
da
política
de
segurança.
12
-‐
Como
qualquer
bem
ou
recurso
organizacional,
a
informação
também
possui
seu
conceito
de
valor
.
Qual
das
opções
abaixo
indica
o
tipo
de
"valor
da
informação"
que
pode
ser
atribuído
ao
seguinte
conceito:
"Surge
no
caso
de
informação
secreta
ou
de
interesse
comercial,
quando
o
uso
fica
restrito
a
apenas
algumas
pessoas"?
a) Valor
de
negócio.
b) Valor
de
restrição.
c) Valor
de
propriedade.
d) Valor
de
troca.
e) Valor
de
uso.
13
-‐
As
________________________
por
si
só
não
provocam
acidentes,
pois
são
elementos
__________,
para
que
ocorra
um
incidente
de
segurança
é
necessário
um
agente
causador
ou
uma
condição
favorável
que
são
as
___________________.
a) Ameaças,
essenciais,
vulnerabilidades
b) Ameaças,
ativos,
vulnerabilidades
c) Vulnerabilidades,
ativos,
ameaças
d) Vulnerabilidades,
passivos,
ameaças
e) Ameaças,
passivos,
vulnerabilidades
14
-‐
Vulnerabilidades
são
as
fraquezas
presentes
nos
ativos
de
informação
que
poderiam
ser
exploradas,
intencionalmente
ou
não,
resultando
na
quebra
de
um
ou
mais
princípios
de
segurança
da
informação.
Com
base
nessa
informação,
analise
os
itens
a
seguir.
I.
Computadores
são
vulneráveis
por
serem
construídos
para
troca
e
armazenamento
de
dados.
Isto
pode
ser
explorado
por
vírus,
cavalos
de
troia,
negação
de
serviço
entre
outros.
II.
As
pessoas
não
são
vulneráveis,
pois
não
guardam
informações
relevantes
para
ataques
aos
ativos
de
informação.
III.
Os
ambientes
são
suscetíveis
de
incêndios,
enchentes,
terremotos.
IV.
Poluentes
diversos
eventualmente
podem
danificar
equipamentos
e
meios
de
armazenamento.
Representam
vulnerabilidades
dos
ativos
de
informação
o
que
consta
em:
a) I
e
III,
somente.
b) I,
II
e
IV,
somente.
c) I,
II,
III
e
IV.
d) II
e
III,
somente.
e) I,
III
e
IV,
somente.
15
-‐
Uma
pesquisa
realizada
pelos
organizadores
da
Conferência
Infosecurity
Europe
2003
com
trabalhadores
de
escritórios,
que
distribuía
um
brinde
(de
baixo
valor)
aos
entrevistados,
revelou
que
75%
deles
se
dispunham
a
revelar
suas
senhas
em
resposta
a
uma
pergunta
direta
("Qual
é
a
sua
senha?"),
e
outros
15%
responderam
a
perguntas
indiretas
que
levariam
à
determinação
da
senha.
Esse
experimento
evidencia
a
grande
vulnerabilidade
dos
ambientes
computacionais
a
ataques
de
que
tipo?
a) Cavalos
de
tróia.
b) Vírus
de
computador.
c) Back
doors.
d) Engenharia
social.
e) Acesso
físico.
16
-‐
Ataque
ao
site
do
IBGE
-‐
Jun
de
2011.
O
site
do
IBGE
foi
atacado
e
seu
site
posteriormente
ficou
fora
do
ar,
antes
foi
deixada
uma
mensagem
informando
:
"Este
mês,
o
governo
vivenciará
o
maior
número
de
ataques
de
natureza
virtual
na
sua
história
feito
pelo
fail
shell".
Foi
um
ataque
orquestrado,
não
só
para
este
site
mas
para
varias
instituições
governamentais,
acredita-‐se
que
foram
utilizados
mais
de
2
bilhões
de
acesso
no
caso
foi
utilizado
um
Denial-‐of
service..
O
banco
de
dados
IBGE
não
foi
afetado,
o
portal
é
mais
informativo,
não
comprometendo
aos
dados
internos
e
criticos
que
não
devem
ser
divulgados.
Qual
você
acha
que
foi
a
vulnerabilidade
para
este
ataque?
a) Vulnerabilidade
Física
b) Vulnerabilidade
Comunicação
c) Vulnerabilidade
Software
d) Vulnerabilidade
Natural
e) Vulnerabilidade
Mídias
17
-‐
As
vulnerabilidades
mais
exploradas
nos
dias
de
hoje,
são
as
do
tipo
buffer
overflow,
que
muitas
vezes
pode
dar
privilégios
de
administrador
para
o
invasor,
rodar
códigos
maliciosos
remotamente,
burlar
particularidades
de
cada
sistema,
ataques
de
Negação
de
Serviços
(DDoS),
e
acesso
irestrito
ao
sistema.
Em
relação
a
Classificação
das
Vulnerabilidades
podemos
citar
como
exemploS
de
Vulnerabilidade
de
Hardware:
a) Instalações
prediais
fora
dos
padrões
de
engenharia
ou
salasde
servidores
mal
planejadas.
b) Radiação
eletromagnética
pode
afetar
diversos
tipos
de
mídias
magnéticas
ou
erro
de
fabricação.
c) Possibilidade
de
desastres
naturais
(incêndios,
enchentes,
terremotos,
tempestades,
falta
de
energia).
d) Acessos
não
autorizados
ou
perda
de
comunicação
ou
a
ausência
de
sistemas
de
criptografia
nas
comunicações.
e) Falha
nos
recursos
tecnológicos
(desgaste,
obsolescência,
mau
uso)
ou
erros
durante
a
instalação.
18
-‐
Ataque
a
de
modems-‐roteadores
ADSL
com
o
uso
de
uma
falha
de
segurança
existente
em
alguns
modelos
de
equipamento.
Na
prática,
o
problema
permitia
que
um
hacker
alterasse
o
modem-‐roteador
para
utilizar
um
determinado
serviço
fornecido
pelo
criminoso
em
vez
do
fornecido
pelo
provedor,
redirecionando
internautas
para
sites
falsos.
O
que
os
hackers
fazem
é
criar
uma
consulta
que
terá
uma
resposta
muito
grande
do
servidor
de
DNS
e
forjar
a
origem
como
se
ela
fosse
o
site
alvo.
Ocorre
então
uma
multiplicação:
o
hacker
consegue
enviar
uma
consulta
pequena,
mas
gerar
para
o
alvo
do
ataque
um
tráfego
grande.
Qual
você
acha
que
foi
o
tipo
de
vulnerabilidade
utilizada
neste
caso?
a) Vulnerabilidade
de
Hardware.
b) Vulnerabilidade
Natural.
c) Vulnerabilidade
de
Comunicação.
d) Vulnerabilidade
de
Mídias.
e) Vulnerabilidade
Física.
19
-‐
Um
tipo
de
software
especificamente
projetado
para
apresentar
propagandas,
seja
através
de
um
browser,
seja
através
de
algum
outro
programa
instalado
em
um
computador
pode
ser
descrito
como
sendo
um:
a) Java
Script
b) Adware
c) Worm
d) Spyware
e) Active-‐x
20
-‐
Alguns
conceitos
relacionados
à
segurança
da
informação
estão
disponibilizados
na
Coluna
I.
Faça
a
correta
correspondência
com
seus
significados
dispostos
na
Coluna
II
.
Coluna
I
1.
Spyware
2.
Adware
3.
Engenharia
Social
4.
Backdoor
5.
Phishing
Coluna
II
(
)
Técnica
que
visa
enganar
um
usuário
induzindo-‐o
a
clicar
em
um
link
que
o
levará
a
uma
página
clonada
ou
a
um
arquivo
malicioso.
(
)
Software
que
insere
propagandas
em
outros
programas.
(
)
Brecha
inserida
pelo
próprio
programador
de
um
sistema
para
uma
invasão.
(
)
Técnica
utilizada
para
obter
informações
preciosas
com
base
em
uma
relação
de
confiança.
(
)
Programa
espião.
A
sequencia
correta
é:
a) 3,
2,
4,
5,
1.
b) 3,
1,
5,
2,
4.
c) 5,1,4,3,2.
d) 3,
1,
4,
5,
2.
e) 5,
2,
4,
3,
1.
21
-‐
Programa
que
parece
útil
mas
possui
código
destrutivo
embutido,
e
além
de
executar
funções
para
as
quais
foi
projetado,
também
executa
outras
funções
normalmente
maliciosas
e
sem
o
conhecimento
do
usuário
poderá
ser
melhor
descrito
como
sendo
um:
a) cavalo
de
tróia
(trojan
horse)
b) exploit
c) worm
d) vírus
e) active-‐x
22
-‐
Qual
tipo
de
ataque
envolve
alguma
modificação
do
fluxo
de
dados
ou
a
criação
de
um
fluxo
falso?
a) Passivo
b) Fraco
c) Secreto
d) Ativo
e) Forte
23
-‐
As
ameaças
são
agentes
ou
condições
que
causam
incidentes
que
comprometem
as
informações
e
seus
ativos
por
meio
da
exploração
de
vulnerabilidades.
Qual
das
opções
abaixo
apresenta
as
possíveis
classificações
das
ameaças
quanto
a
sua
intencionalidade?
a) Naturais,
Voluntarias
e
Obrigatórias.
b) Ocasionais,
Involuntárias
e
Obrigatórias.
c) Naturais,
Involuntárias
e
Voluntarias.
d) Naturais,
Voluntarias
e
Vulneráveis.
e) Naturais,
Involuntárias
e
Obrigatórias.
24
-‐
Ao
analisarmos
a
afirmativa:
“Devemos
levar
em
consideração
que
diferentes
ameaças
possuem
impactos
diferentes
e
que
dependendo
do
ativo
afetado,
podemos
ter
também
impactos
diferentes
para
uma
mesma
ameaça”.
Podemos
dizer
que
é:
a) falsa,
pois
não
depende
do
ativo
afetado.
b) verdadeira
c) falsa,
pois
os
impactos
são
sempre
iguais
para
ameaças
diferentes.
d) parcialmente
verdadeira,
pois
sempre
temos
impactos
diferentes
para
uma
mesma
ameaça.
e) falsa,
pois
não
devemos
considerar
que
diferentes
ameaças
existem.
25
-‐
Existem
diferentes
caminhos
que
um
atacante
pode
seguir
para
obter
acesso
aos
sistemas.
Qual
das
opções
abaixo
Não
representa
um
destes
tipos
de
ataques?
a) Ataque
à
Aplicação
b) Ataque
aos
Sistemas
Operacionais
c) Ataque
de
Configuração
mal
feita
d) Ataques
Genéricos
e) Ataque
para
Obtenção
de
Informações
26
-‐
Qual
opção
abaixo
representa
a
descrição
do
Passo
“Levantamento
das
Informações”
dentre
aqueles
que
são
realizados
para
um
ataque
de
segurança
?
a) O
atacante
de
tentar
camuflar
seus
atos
não
autorizados
com
o
objetivo
de
prolongar
sua
permanência.
b) O
Atacante
penetra
do
sistema
para
explorar
vulnerabilidades
encontradas
no
sistema.
c) O
atacante
procura
coletar
o
maior
número
possível
de
informações
sobre
o
"alvo
em
avaliação".
d) O
atacante
tenta
manter
seu
próprio
domínio
sobre
o
sistema
e) O
atacante
explora
a
rede
baseado
nas
informações
obtidas
na
fase
de
reconhecimento
27
-‐
Qual
das
opções
abaixo
descreve
um
tipo
de
ataque
onde
é
possível
obterinformações
sobre
um
endereço
específico,
sobre
o
sistema
operacional,
a
arquitetura
do
sistema
e
os
serviços
que
estão
sendo
executados
em
cada
computador
?
a) Ataque
para
Obtenção
de
Informações
b) Ataque
aos
Sistemas
Operacionais
c) Ataques
de
códigos
pré-‐fabricados
d) Ataque
á
Aplicação
e) Ataque
de
Configuração
mal
feita
28
-‐
Suponha
que
um
hacker
esteja
planejando
um
ataque
a
uma
empresa.
Inicialmente
irá
utilizar
diversos
artifícios
e
mecanismos
para
se
aproximar
da
empresa
ou
rede
a
ser
atacada.
Como
se
chama
este
primeiro
passo
do
atacante?
a) Engenharia
Social
b) Acessando
a
empresa
c) Explorando
informações.
d) Levantamento
das
Informações
de
forma
ativa
e) Levantamento
das
Informações
de
forma
passiva.
29
-‐
Maria
é
secretária
da
presidência
de
uma
empresa
e
responsável
por
elaborar
as
atas
das
reuniões
entre
a
presidência
e
a
diretoria,
onde
são
tratados
os
assuntos
confidenciais
da
organização.
João
na
tentativa
de
saber
o
que
ocorre
nas
reuniões
tornou-‐se
amigo
de
Maria
na
intenção
que
Maria
compartilhe
as
informações
confidenciais
que
possui.
Neste
caso
podemos
afirmar
que
João
está
realizando
um
ataque
do
tipo:
a) Conhecimento
prévio
b) Engenharia
social
c) Força
bruta
d) escaneamento
e) De
conhecimento
30
-‐
A
empresa
Ypisilon
foi
invadida
através
do
seu
sistema
de
e-‐commerce.
O
ataque
ocorreu
através
do
envio
de
informações
inconsistentes
para
um
campo
de
entrada
de
dados
da
tela
principal
do
sistema.
Neste
caso,
foi
utilizado
um
ataque
de:
a) SQL
injection
b) Fragmentação
de
pacotes
IP
c) Fraggle
d) Buffer
Overflow
e) Smurf
31
-‐
Você
trabalha
na
gestão
de
risco
de
sua
empresa
e
verificou
que
o
custo
de
proteção
contra
um
determinado
risco
está
muito
além
das
possibilidades
da
organização
e
portanto
não
vale
a
pena
tratá-‐lo.
Neste
caso
você:
a) Trata
o
risco
a
qualquer
custo
b) Ignora
o
risco
c) Aceita
o
risco
d) Rejeita
o
risco
e) Comunica
o
risco
32
-‐
Gerenciar
riscos
é
um
dos
passos
mais
importantes
no
alcance
da
governança
e
da
gestão
de
TI.
Os
riscos
de
operação
dos
serviços
de
TI
estão
diretamente
relacionados
às
operações
de
negócios,
e
a
mitigação
destes
riscos
é
fator
crítico
na
gestão
corporativa
e
de
TI.
Gerenciar
os
riscos
de
TI
e
de
Segurança
da
Informação
significa
reconhecer
as
vulnerabilidades
e
ameaças
do
ambiente,
avaliá-‐las
e
propor
controles
(soluções
e
ferramentas)
que
mitiguem
os
riscos
aos
níveis
aceitáveis.
Como
podemos
definir
o
método
"quantitativo"
na
Análise
e
Avaliação
dos
Riscos:
a) Em
vez
de
usarmos
valores
numéricos
para
estimar
os
componentes
do
risco,
trabalhamos
com
menções
mais
subjetivas
como
alto,
médio
e
baixo.
b) A
métrica
é
feita
através
de
uma
metodologia
na
qual
tentamos
quantificar
em
termos
numéricos
os
componentes
associados
ao
risco.O
risco
é
representando
em
termos
de
possíveis
perdas
financeiras.
c) Controles
que
reduzem
a
probabilidade
de
uma
ameaça
se
concretizar
ou
diminuem
o
grau
de
vulnerabilidade
do
ambiente/ativo;sistema,
reduzindo
assim
a
probabilidade
de
um
ataque
e/ou
sua
capacidade
de
gerar
efeitos
adversos
na
organização.
d) Expõem
ataques/incidentes
e
disparam
medidas
reativas,
tentando
evitar
a
concretização
do
dano,
reduzi-‐lo
ou
impedir
que
se
repita.
e) Os
resultados
dependem
muito
do
conhecimento
do
profissional
que
atribuiu
notas
aos
componentes
do
risco
que
foram
levantados.
33
-‐
Referente
ao
processo
de
Gestão
de
incidentes,
qual
é
a
sequência
na
ordem
que
compõem
o
processo
de
gestão
de
incidentes
?
a) Incidente,
impacto,
ameaça
e
recuperação
b) Incidente,
recuperação,
impacto
e
ameaça
c) Ameaça,
incidente,
impacto
e
recuperação
d) Impacto,
ameaça,
incidente
e
recuperação
e) Ameaça,
impacto,
incidente
e
recuperação
34
-‐
A
segurança
da
informação
deve
ser
vista
como
algo
estratégico
dentro
da
organização.
E
a
organização
deve
saber
como
ela
está
exposta
sobre
riscos.
Dessa
forma,
uma
maneira
da
organização
criar
um
plano
de
gestão
voltado
para
riscos
é
criando
um
Plano
de
Gestão
de
Risco
(PGI).
O
PGI
é
composto
por
4
fases,
quais
são
elas?
a) Mapeamento
de
ameaças;
Mapeamento
de
ativos;
Mapeamento
de
vulnerabilidades;
Mapeamento
de
impacto
b) Mapeamento
do
risco;
Analise
de
vulnerabilidades;
Comunicação
do
risco
e
Aceitação
do
risco
c) Análise
de
impacto;
Mapeamento
de
vulnerabilidades;
Tratamento
das
vulnerabilidades;
Comunicação
do
impacto
d) Análise
de
risco,
Análise
de
impacto;
Aceitação
de
impacto;
Comunicação
do
risco
e) Análise
e
avaliação
do
risco;
Tratamento
do
risco;
Aceitação
do
risco;
Comunicação
do
risco
35
-‐
Qual
o
nome
do
ataque
que
é
muito
utilizado
em
espionagem,
onde
esse
é
utilizado
para
obter
informações
confidenciais
em
lixos
?
a) Defacement
b) Dumpster
diving
c) Backdoor
d) DoS
e) Adware
36
-‐
Qual
o
nome
do
ataque
que
o
objetivo
de
"forjar"
uma
página
falsa
de
um
site
verdadeiro
com
o
intuito
de
obter
informaçõespessoais
de
usuários
de
sites
da
Internet
ou
site
corporativo
?
a) Defacement
b) Phishing
c) Spyware
d) Backdoor
e) Rootkit
37
-‐
Um
Firewall
pode
ser
definido
como
uma
coleção
de
componentes,
colocada
entre
duas
redes,
que
coletivamente
possua
propriedades
que:
a) garantem
que
todo
o
tráfego
de
dentro
para
fora
da
rede,
e
vice-‐
versa,
passe
por
ele.
Somente
o
tráfego
autorizado
pela
política
de
segurança
pode
atravessar
o
firewall
e,
finalmente,
ele
deve
ser
à
prova
de
violação.
b) garantem
que
todo
o
tráfego
de
dentro
para
fora
da
rede
e
vice-‐versa
deve
ser
bloqueado,
independentemente
da
política
de
segurança
adotada.
Todo
firewall
deve
ser
à
prova
de
violação.
c) independentemente
da
política
de
segurança
adotada,
tem
como
objetivo
principal
impedir
a
entrada
de
vírus
em
um
computador,
via
arquivos
anexados
a
e-‐mails.
d) garantem
que
apenas
o
tráfego
de
fora
para
dentro
da
rede
deve
passar
por
ele.
Somente
o
tráfego
autorizado
pela
política
de
segurança
pode
atravessar
o
firewall
e,
finalmente,
ele
deve
ser
à
prova
de
violação.
e) garantem
que
apenas
o
tráfego
de
dentro
para
fora
da
rede
deve
passar
por
ele.
Somente
o
tráfego
autorizado
pela
política
de
segurança
pode
atravessar
o
firewall
e,
finalmente,
ele
deve
ser
à
prova
de
violação.
38
-‐
Quando
devem
ser
executadas
as
ações
corretivas?
a) Devem
ser
executadas
para
garantir
as
causas
da
conformidade
com
os
requisitos
do
SGSI
de
forma
a
evitar
a
sua
repetição
b) Devem
ser
executadas
para
garantir
as
causas
da
não-‐conformidade
com
os
requisitos
do
SGSI
de
forma
a
evitar
a
sua
repetição
c) Devem
ser
executadas
para
eliminar
todas
conformidades
com
os
requisitos
do
SGSI
de
forma
a
evitar
a
sua
repetição
d) Devem
ser
executadas
para
eliminar
as
causas
da
não-‐conformidade
com
os
requisitos
do
SGSI
de
forma
a
evitar
a
sua
repetição
e) Devem
ser
executadas
somente
para
eliminar
o
resultado
da
não-‐conformidade
com
os
requisitos
do
SGSI
de
forma
a
evitar
a
sua
repetição
39
-‐
Segundo
a
Norma
ISSO/IEC
27002,
é
essencial
que
a
organização
identifique
os
requisitos
de
segurança
da
informação,
através
de
três
fontes
principais:
a) Requisitos
de
negócio,
Análise
de
risco,
Requisitos
legais
b) Análise
de
vulnerabilidades,
requisitos
legais
e
classificação
da
informação
c) Classificação
da
informação,
requisitos
de
negócio
e
análise
de
risco
d) Requisitos
de
negócio,
análise
do
impacto
de
negócio
(BIA),
requisitos
legais
e) Análise
de
risco,
análise
do
impacto
de
negócio
(BIA),
classificação
da
informação
40
-‐
Com
relação
à
NBR
27005,
assinale
a
opção
correta,
no
que
se
refere
à
gestão
de
riscos
de
segurança
da
informação.
a) Qualquer
atividade
de
comunicação
do
risco
de
segurança
da
informação
deve
ocorrer
apenas
após
a
aceitação
do
plano
de
tratamento
do
risco
pelos
gestores
da
organização.
b) Os
riscos
residuais
são
conhecidos
antes
da
comunicação
do
risco.
c) A
definição
do
contexto
da
gestão
de
riscos
deve
preceder
a
identificação
dos
ativos
de
valor.
d) Aceitar
ou
reter
um
risco
durante
o
seu
tratamento
equivale
a
transferi-‐lo.
e) Os
riscos
são
reduzidos
ou
mitigados
sem
que
ocorra
a
seleção
de
controles.
41
-‐
Porque
as
organizações
devem
realizar
auditorias
internas
do
SGSI
em
intervalos
regulares?
a) Para
determinar
se
os
objetivos
de
controle,
processos
e
procedimentos
atendem
aos
requisitos
da
norma
NBR
ISO/IEC
27001.
b) Para
determinar
se
os
objetivos
de
ameaças,
vulnerabilidades
e
procedimentos
atendem
aos
requisitos
da
norma
NBR
ISO/IEC
27001.
c) Para
determinar
se
os
objetivos
de
riscos,
processos
e
procedimentos
atendem
aos
requisitos
da
norma
NBR
ISO/IEC
27001.
d) Para
determinar
se
os
objetivos
de
controle,
processos
e
incidentes
atendem
aos
requisitos
da
norma
NBR
ISO/IEC
27001.
e) Para
determinar
se
os
objetivos
de
risco,
processos
e
incidentes
atendem
aos
requisitos
da
norma
NBR
ISO/IEC
27001.
42
-‐
A
Norma
NBR
ISO/IEC
27002
estabelece
um
código
de
prática
para
a
gestão
da
segurança
da
informação.
De
acordo
com
a
Norma,
parte
importante
do
processo
do
estabelecimento
da
segurança
é
a
realização
do
inventário
dos
diversos
tipos
de
ativos
para
as
suas
devidas
proteções.
Nesse
contexto,
e
de
acordo
com
a
Norma,
um
exemplo
de
ativo
do
tipo
intangível
é:
a) A
base
de
dados
e
arquivos
b) O
serviço
de
iluminação
c) A
reputação
da
organização
d) O
equipamento
de
comunicação
e) O
plano
de
continuidade
do
negócio.
43
-‐
A
certificação
de
organizações
que
implementaram
a
NBR
ISO/IEC
27001
é
um
meio
de
garantir
que
a
organização
certificada:
a) implementou
um
sistema
para
gerência
da
segurança
da
informação
de
acordo
com
os
padrões
e
melhores
práticas
de
segurança
reconhecidas
no
mercado
b) implementou
um
sistema
para
gerência
da
segurança
da
informação
de
acordo
fundamentado
nos
desejos
desegurança
dos
Gerentes
de
TI.
c) implementou
um
sistema
para
gerência
da
segurança
da
informação
de
acordo
com
os
padrões
nacionais
das
empresas
de
TI.
d) implementou
um
sistema
para
gerência
da
segurança
da
informação
de
acordo
com
os
desejos
de
segurança
dos
funcionários
e
padrões
comerciais.
e) implementou
um
sistema
para
gerência
da
segurança
da
informação
de
acordo
com
os
padrões
de
segurança
de
empresas
de
maior
porte
reconhecidas
no
mercado.
44
-‐
A
organização
deve
executar
ações
para
melhorar
continuamente
a
eficácia
do
SGSI.
Estas
ações
ocorrem
através:
do
uso
da
política
de
segurança,
dos
objetivos
de
segurança,
resultados
de
auditorias,
da
análise
dos
eventos
monitorados
e
através
de
ações:
a) Corrigidas
e
Preventivas.
b) Corretivas
e
Preventivas.
c) Corretivas
e
Correção.
d) Corretivas
e
Corrigidas.
e) Prevenção
e
Preventivas.
45
-‐
No
contexto
da
Segurança
da
Informação
,
qual
das
opções
abaixo
não
pode
ser
considerada
como
um
Problema
de
Segurança:
a) Restrição
Financeira.
b) Uma
Operação
Incorreta
ou
Erro
do
usuário.
c) Uma
tempestade.
d) Uma
inundação.
e) A
perda
de
qualquer
aspecto
de
segurança
importante
para
a
organização.
46
-‐
A
empresa
XPTO
optou
como
forma
de
complementar
seu
projeto
de
Segurança
da
Informação,
a
instalação
de
camêras
de
vídeo,
sendo
algumas
falsas,
e
a
utilização
de
avisos
da
existência
de
alarmes,
neste
caso
qual
o
tipo
de
proteção
que
está
sendo
utilizada
?
a) Correção
b) Reação
c) Desencorajamento
d) Limitação
e) Preventiva
47
-‐
Qual
das
seguintes
opções
é
considerada
a
mais
crítica
para
o
sucesso
de
um
programa
de
segurança
da
informação?
a) Auditoria.
b) Suporte
técnico.
c) Conscientização
dos
usuários.
d) Segregação
de
funções.
e) Procedimentos
elaborados.
48
-‐
Após
a
implantação
do
Sistema
de
Gestão
de
Segurança
da
Informação
(SGSI)
de
acordo
com
a
norma
NBR
ISO/IEC
27001,
a
equipe
de
técnicos
em
informática
da
organização
XPTO
deve
Monitorar
e
Analisar
criticamente
o
SGSI,
que
compreende
a
atividade
de:
a) Especificar
a
forma
de
medir
a
eficácia
dos
controles
de
modo
a
produzir
resultados
comparáveis.
b) Avaliar
a
probabilidade
real
de
ocorrência
de
falhas
de
segurança
à
luz
de
ameaças
e
vulnerabilidades
prevalecentes
c) Especificar
os
requisitos
necessários
para
o
estabelecimento,
implementação,
operação,
monitoração,
análise
crítica,
manutenção
e
melhoria
de
um
Sistema
de
Gestão
de
Segurança
da
Informação
(SGSI)
dentro
do
contexto
dos
riscos
de
negócio
da
organização.
d) Aplicar
as
lições
aprendidas
de
experiências
de
segurança
da
informação
de
outras
organizações.
e) Definir
e
medir
a
eficácia
dos
controles
ou
grupos
de
controle
selecionados.
49
-‐
Para
realizar
o
login
da
rede
da
sua
empresa,
Pedro
necessita
digitar
além
do
usuário,
também
a
sua
senha
como
forma
de
validação
do
usuário
digitado.
Neste
caso
Pedro
está
utilizado
qual
propriedade
de
segurança?
a) Integridade;
b) Confidencialidade;
c) Não-‐Repúdio;
d) Auditoria;
e) Autenticidade;
50
-‐
Qual
a
ação
no
contexto
da
gestão
da
continuidade
de
negócio
e
baseado
na
norma
NBR
ISO/IEC
15999,
que
as
organizações
devem
implementar
para
a
identificação
das
atividades
críticas
e
que
serão
utilizadas
para
o
perfeito
dimensionamento
das
demais
fases
de
elaboração
do
plano
de
continuidade
?
a) Análise
de
vulnerabilidade
b) Auditoria
interna
c) Análise
de
risco
d) Análise
de
impacto
dos
negócios
(BIA)
e) Classificação
da
informação
51
-‐
Na
implantação
da
Gestão
de
Continuidade
de
Negócios.
É
importante
que
a
GCN
esteja
no
nível
mais
alto
da
organização
para
garantir
que:
a) As
metas
e
objetivos
definidos
não
sejam
comprometidos
por
interrupções
inesperadas
b) As
metas
e
objetivos
dos
clientes
sejam
comprometidos
por
interrupções
inesperadas
c) As
metas
e
objetivos
dos
usuários
sejam
comprometidos
por
interrupções
inesperadas
d) As
metas
e
objetivos
definidos
sejam
comprometidos
por
interrupções
inesperadas
e) As
metas
e
objetivos
da
alta
Direção
sejam
comprometidos
por
interrupções
inesperadas
52
-‐
O
ciclo
de
vida
da
Gestão
de
continuidade
de
negócios
é
composto
por
seis
elementos
obrigatórios
e
que
podem
ser
implementados
em
todos
os
tipos
de
organizações
de
diferentes
tamanhos
e
setores.
Cada
organização
ao
implementar
a
gestão
da
continuidade
de
negócios
deverá
adaptar
as
suas
necessidades:
o
escopo,
a
estrutura
do
programa
de
GCN
e
o
esforço
gasto.
Como
podemos
definir
o
elemento
"Entendendo
a
Organização"?
a) O
desenvolvimento
e
implementação
de
uma
resposta
de
GCN
resulta
na
criação
de
uma
estrutura
de
gestão
e
uma
estrutura
de
gerenciamento
de
incidentes,
continuidade
de
negócios
e
planos
de
recuperação
que
irão
detalhar
os
passos
a
serem
tomados
durante
e
após
um
incidente
,
para
manter
ou
restaurar
as
operações.
b) Para
o
estabelecimento
do
programa
de
GCN
é
necessário
entender
a
organização
para
definir
a
priorização
dos
produtos
e
serviçosda
organização
e
a
urgência
das
atividades
que
são
necessárias
para
fornecê-‐los.
c) Para
que
às
partes
interessadas
tenham
confiança
quanto
à
capacidade
da
organização
de
sobreviver
a
interrupções,
a
Gestão
de
continuidade
de
negócio
deverá
torna-‐se
parte
dos
valores
da
organização,
através
da
sua
inclusão
na
cultura
da
empresa.
d) A
organização
precisa
verificar
se
suas
estratégicas
e
planos
estão
completos,
atualizados
e
precisos.
O
GCN
deverá
ser
testado,
mantido,
analisado
criticamente,
auditado
e
ainda
identificada
as
oportunidades
de
melhorias
possíveis.
e) A
determinação
da
estratégia
de
continuidade
de
negócio
permite
que
uma
resposta
apropriada
seja
escolhida
para
cada
produto
ou
serviço,
de
modo
que
a
organização
possa
continuar
fornecendo
seus
produtos
e
serviços
em
um
nível
operacional
e
quantidade
de
tempo
aceitável
durante
e
logo
após
uma
interrupção.
53
-‐
Ocorreu
um
incidente
na
sua
organização
e
a
mesma
possui
a
norma
NBR
ISO/IEC
15999
implementada.
Qual
das
opções
abaixo
não
está
em
conformidade
com
as
orientações
da
norma
citada?
a) Confirmar
a
natureza
e
extensão
do
incidente
b) Afastar
o
incidente
do
cliente
c) Controlar
o
incidente
d) Comunicar-‐se
com
as
partes
interessadas
e) Tomar
controle
da
situação
54
-‐
Qual
a
principal
diferença
entre
um
Plano
de
Continuidade
de
Negócios
(PCN)
e
um
Plano
de
Recuperação
de
Desastres
(PRD)?
a) O
PRD
é
mais
abrangente
que
o
PCN.
b) O
PRD
é
responsável
pela
continuidade
dos
processos
de
Tecnologia
da
Informação
enquanto
que
o
PCN
foca-‐se
na
continuidade
para
todos
os
processos.
c) O
PCN
só
pode
ser
implementado
se
o
PRD
já
tiver
em
uso.
d) O
PCN
é
direcionado
para
a
recuperação
de
todos
os
ativos
da
empresa
enquanto
que
o
PRD
cobre
somente
os
ativos
de
informação.
e) O
PCN
foca-‐se
no
funcionamento
contínuo
dos
processos
enquanto
que
o
PRD
é
destinado
à
reparação
dos
danos
causados.
55
-‐
O
CAPTCHA,
muito
utilizado
em
aplicações
via
Internet,
tem
a
finalidade
de:
a) controlar
a
expiração
da
sessão
do
usuário,
caso
o
mesmo
possua
cookies
desabilitados
em
seu
navegador.
b) criptografar
os
dados
enviados
através
do
formulário
para
impedir
que
os
mesmos
sejam
interceptados
em
curso.
c) confirmar
a
identidade
do
usuário.
d) confirmar
que
o
formulário
está
sendo
preenchido
por
um
usuário
humano
e
não
por
um
computador.
e) testar
a
aptidão
visual
do
usuário
para
decidir
sobre
a
folha
de
estilo
CSS
a
ser
utilizada
nas
páginas
subsequentes.
56
-‐
Quando
tratamos
de
Criptografia
de
Chave
Assimétrica
ou
pública
quais
das
opções
abaixo
está
INCORRETA
:
a) Chave
Publica
e
Privada
são
utilizadas
por
algoritmos
assimétricos
b) A
Chave
Publica
pode
ser
divulgada
livremente
c) A
Chave
Publica
não
pode
ser
divulgada
livremente,
somente
a
Chave
Privada
d) A
Chave
Privada
deve
ser
mantida
em
segredo
pelo
seu
Dono
e) Cada
pessoa
ou
entidade
mantém
duas
chaves
57
-‐
A
sub-‐rede,
também
conhecida
como
rede
de
perímetro,
utilizada
para
transmitir
informações
entre
uma
rede
confiável
e
uma
não
confiável,
mantendo
os
serviços
que
possuem
acesso
externo
separados
da
rede
local,
é
chamada
de:
a) VPN
b) Intranet
c) Proxy
d) DMZ
e) Firewall
58
-‐
O
fato
de
se
poder
conectar
qualquer
computador
em
qualquer
lugar
a
qualquer
outro
computador
pode
torná-‐
lo
vulnerável.
O
recurso
técnico
para
proteger
essa
conexão
de
dados
é
através
de:
a) Esteganografia
b) Certificação
digital
c) Firewall
d) PKI
e) Proxy
59
-‐
Qual
o
dispositivo
que
tem
por
objetivo
aplicar
uma
política
de
segurança
a
um
determinado
ponto
de
controle
da
rede
de
computadores
de
uma
empresa
sendo
sua
função
a
de
regular
o
tráfego
de
dados
entre
essa
rede
e
a
internet
e
impedir
a
transmissão
e/ou
recepção
de
acessos
nocivos
ou
não
autorizados.
a) Adware.
b) Firewall.
c) Mailing.
d) Spyware.
e) Antivírus.
60
-‐
Você
trabalha
na
área
de
administração
de
rede
e
para
aumentar
as
medidas
de
segurança
já
implementadas
pretende
controlar
a
conexão
a
serviços
da
rede
de
um
modo
indireto,
ou
seja,
impedindo
que
os
hosts
internos
e
externos
se
comuniquem
diretamente.
Neste
caso
você
optará
por
implementar
:
a) Um
servidor
proxy
b) Um
firewall
com
estado
c) Um
detector
de
intrusão
d) Um
roteador
de
borda
e) Um
filtro
de
pacotes
61
-‐
O
tamanho
do
prejuízo,
medido
através
de
propriedades
mensuráveis
ou
abstratas,
que
a
concretização
de
uma
determinada
ameaça
causará
está
relacionado
com
qual
conceito
de?
a) Valor.
b) Vulnerabilidade.
c) Risco.
d) Ameaça.
e) Impacto.
62
-‐
Existe
uma
série
de
fatores
que
impactam
na
segurança
de
uma
organização.
A
ausência
de
um
mecanismo
de
proteção
ou
falhas
em
um
mecanismo
de
proteção
existente
está
relacionada
com
o
conceito
de?
a) Valor.
b) Impacto.
c) Ameaça.
d) Risco.
e) Vulnerabilidade.
63
-‐
A
informação
terá
valor
econômico
para
uma
organização
se
ela
gerar
lucroou
se
for
alavancadora
de
vantagem
competitiva.
Neste
sentido
devemos
proteger
os
diferentes
momentos
vividos
por
esta
informação
que
a
colocam
em
risco.
Os
momentos
que
colocam
em
risco
esta
informação
e
que
chamamos
de
ciclo
de
vida
são:
(Assinale
a
alternativa
I
N
C
O
R
R
E
T
A).
a) Manuseio.
b) Transporte.
c) Consultoria.
d) Descarte.
e) Armazenamento.
64
-‐
O
advento
da
internet
e
a
globalização
transformaram
completamente
o
mundo
que
vivemos
e
consequentemente
estão
revolucionando
o
modo
de
operação
das
empresas
.
A
demanda
gradual
por
armazenamento
de
conhecimento
tem
levado
à
necessidade
de
administração
desses
dados
de
forma
confiável.
Por
que
as
organizações
devem
proteger
as
suas
informações?
a) Somente
pelos
seus
valores
qualitativos
e
financeiros.
b) Pelos
seus
valores
internos
e
qualitativos.
c) Pelos
seus
valores
estratégicos
e
qualitativos.
d) Pelos
seus
valores
estratégicos
e
financeiros.
e) Somente
pelo
seu
valor
financeiro.
65
-‐
Corrigir
pontos
vulneráveis
ou
pontos
fracos
que
circulam
em
um
setor
que
trabalha
com
a
informação,
não
acabará,
mas
reduzirá
em
muito
os
riscos
em
que
ela
estará
envolvida.
Logo
estará
evitando
como
também
prevenindo
a
concretização
de
possíveis
ameaças.
Baseado
neste
fato
podemos
denominar
como
Vulnerabilidade
Física:
a) Instalações
prediais
fora
dos
padrões
de
engenharia
e
salas
de
servidores
mal
planejadas.
b) Terrorismo
ou
vandalismo
(ameaça
de
bomba,
sabotagem,
distúrbios
civis,
greves,
roubo,
furto,
assalto,
destruição
de
propriedades
ou
de
dados,
invasões,
guerras,
etc.).
c) Possibilidade
de
desastres
naturais
(incêndios,
enchentes,
terremotos,
tempestades,
falta
de
energia).
d) Problemas
nos
equipamentos
de
apoio
(acúmulo
de
poeira,
aumento
de
umidade
e
de
temperatura).
e) Acessos
não
autorizados
ou
perda
de
comunicação
e
a
ausência
de
sistemas
de
criptografia
nas
comunicações
66
-‐
As
contas
do
Gmail
de
jornalistas
estrangeiros
de
pelo
menos
duas
agências
de
notícias
que
operam
em
Pequim
foram
sequestradas,
em
(18/1/10)
de
acordo
com
uma
associação
de
profissionais
de
imprensa
que
atuam
na
China.
A
notícia
chega
uma
semana
após
o
Google
afirmar
ter
sido
alvo
de
ataques
cibernéticos
destinados
a
acessar
as
contas
de
e-‐mail
de
ativistas
chineses
de
direitos
humanos.
As
contas
do
Gmail
que
eram
utilizadas
pelos
jornalistas
em
Pequim
foram
invadidas
e
programadas
para
reenviar
as
mensagens
para
contas
desconhecidas.
Qual
você
acha
que
foi
a
vulnerabilidade
para
este
ataque?
a) Vulnerabilidade
Natural
b) Vulnerabilidade
Mídia
c) Vulnerabilidade
de
Software
d) Vulnerabilidade
Física
e) Vulnerabilidade
Comunicação
67
-‐
Um
tipo
de
software
especificamente
projetado
para
apresentar
propagandas,
seja
através
de
um
browser,
seja
através
de
algum
outro
programa
instalado
em
um
computador
pode
ser
descrito
como
sendo
um:
a) Java
Script
b) Active-‐x
c) Spyware
d) Worm
e) Adware
68
-‐
Alguns
conceitos
relacionados
à
segurança
da
informação
estão
disponibilizados
na
Coluna
I.
Faça
a
correta
correspondência
com
seus
significados
dispostos
na
Coluna
II
.
Coluna
I
1.
Spyware
2.
Adware
3.
Engenharia
Social
4.
Backdoor
5.
Phishing
Coluna
II
(
)
Técnica
que
visa
enganar
um
usuário
induzindo-‐o
a
clicar
em
um
link
que
o
levará
a
uma
página
clonada
ou
a
um
arquivo
malicioso.
(
)
Software
que
insere
propagandas
em
outros
programas.
(
)
Brecha
inserida
pelo
próprio
programador
de
um
sistema
para
uma
invasão.
(
)
Técnica
utilizada
para
obter
informações
preciosas
com
base
em
uma
relação
de
confiança.
(
)
Programa
espião.
A
sequencia
correta
é:
a) 5,1,4,3,2.
b) 3,
1,
4,
5,
2.
c) 3,
1,
5,
2,
4.
d) 3,
2,
4,
5,
1.
e) 5,
2,
4,
3,
1.
69
-‐
Para
que
um
ataque
ocorra
normalmente
o
atacante
deverá
seguir
alguns
passos
até
o
seu
objetivo,
qual
das
opções
abaixo
Não
representa
um
destes
passos?
a) Obtenção
de
Acesso
b) Levantamento
das
Informações
c) Exploração
das
Informações
d) Divulgação
do
Ataque
e) Camuflagem
das
Evidências
70
-‐Um
dos
principais
tipos
de
ataques
à
Segurança
das
informações
funciona
da
seguinte
forma:
O
ataque
explora
a
metodologia
de
estabelecimento
de
conexões
do
protocolo
TCP,
baseado
no
three-‐way-‐handshake.
Desta
forma
um
grande
número
de
requisições
de
conexão
(pacotes
SYN)
é
enviando,
de
tal
maneira
que
o
servidor
não
seja
capaz
de
responder
a
todas
elas.
A
pilha
de
memória
sofre
então
um
overflow
e
as
requisições
de
conexões
de
usuários
legítimos
são,
desta
forma,
desprezadas,
prejudicando
a
disponibilidade
do
sistema..
Qual
seria
este
ataque:
a) Ip
Spoofing.
b) Syn
Flooding.
c) Port
Scanning.
d) Fraggle.
e) Packet
Sniffing.
71
-‐
Política
de
segurança
é
composta
por
um
conjunto
de
regras
e
padrões
sobre
o
que
deve
ser
feito
para
assegurar
que
as
informações
e
serviços
importantes
para
a
empresa
recebam
a
proteção
conveniente,
de
modo
a
garantira
sua
confidencialidade,
integridade
e
disponibilidade.
Após
sua
criação
ela
deve
ser:
a) Armazenada
em
local
seguro
com
acesso
apenas
por
diretores
e
pessoas
autorizadas.
b) Escondida
de
toda
a
organização
para
garantir
sua
confidencialidade,
integridade
e
disponibilidade.
c) Comunicada
a
toda
a
organização
para
os
usuários
de
uma
forma
que
seja
relevante,
acessível
e
compreensível
para
o
público-‐alvo.
d) Comunicada
apenas
ao
setor
de
tecnologia
da
informação
de
maneria
rápida
para
que
todos
possam
se
manter
focados
no
trabalho.
e) Comunicada
apenas
aos
usuários
que
possuem
acesso
à
Internet.
72
-‐
Para
se
garantir
a
segurança
da
informação
em
um
ambiente
corporativo
é
necessário
garantir
3
(três)
aspectos
de
segurança
da
informação,
aspectos
denominados
de
"Tríade
da
Segurança
da
Informação".
Quais
elementos
compõem
a
tríade
da
segurança
da
informação?
a) Disponibilidade,
Privacidade
e
Segurabilidade
b) Privacidade,
Governabilidade
e
Confidencialidade
c) Autenticidade,
Legalidade
e
Privacidade
d) Integridade,
Legalidade
e
Confiabilidade
e) Confiabilidade,
Integridade
e
Disponibilidade
73
-‐
Como
qualquer
bem
ou
recurso
organizacional,
a
informação
também
possui
seu
conceito
de
valor
está
associado
a
um
contexto.
A
informação
terá
valor
econômico
para
uma
organização
se
ela
gerar
lucros
ou
se
for
alavancadora
de
vantagem
competitiva,
caso
contrário
poderá
ter
pouco
ou
nenhum
valor.
Segundo
os
conceitos
da
Segurança
da
Informação,
onde
devemos
proteger
as
informações?
a) Nos
Riscos.
b) Nas
Ameaças.
c) Nos
Ativos
.
d) Nas
Vulnerabilidades.
e) Nas
Vulnerabilidades
e
Ameaças.
74
-‐
A
informação
é
um
ativo
importante
dentro
da
organização,
e
que
deve
ser
protegido
em
todas
as
fases
do
seu
ciclo
de
vida.
Aponte
dentre
as
alternativas
abaixo
aquela
que
corresponde
ao
correto
ciclo
de
vida
da
informação:
a) Geração,
Transporte,
Armazenamento,
Manuseio
e
Descarte.
b) Criação,
Edição,
Correção,
Manuseio
e
Descarte
c) Desarquivamento,
Transporte,
Edição,
Manuseio
e
Descarte
d) Geração,
Edição,
Correção,
Divulgação
e
Descarte
e) Geração,
Transporte,
Publicação,
Apreciação
e
Arquivamento.
75
-‐
Observe
a
figura
acima
e
complete
corretamente
a
legenda
dos
desenhos:
a) Ameaças,
incidentes
de
segurança,
incidentes
de
segurança,
negócios,
clientes
e
produtos
b) Agentes
ameaçadores,
vulnerabilidades,
incidente
de
segurança,
Negócios,
clientes
e
produtos
c) Incidentes
de
segurança,
vulnerabilidades,
vulnerabilidade,
segurança,
negócios
d) Vulnerabilidades,
ameaças,
ataques,
clientes
e
produtos,
negócios
e) Ataques,
vulnerabilidades,
incidentes
de
segurança,
clientes
e
produtos,
negócios
76
-‐
Vulnerabilidades
são
as
fraquezas
presentes
nos
ativos
de
informação
que
poderiam
ser
exploradas,
intencionalmente
ou
não,
resultando
na
quebra
de
um
ou
mais
princípios
de
segurança
da
informação.
Com
base
nessa
informação,
analise
os
itens
a
seguir.
I.
Computadores
são
vulneráveis
por
serem
construídos
para
troca
e
armazenamento
de
dados.
Isto
pode
ser
explorado
por
vírus,
cavalos
de
troia,
negação
de
serviço
entre
outros.
II.
As
pessoas
não
são
vulneráveis,
pois
não
guardam
informações
relevantes
para
ataques
aos
ativos
de
informação.
III.
Os
ambientes
são
suscetíveis
de
incêndios,
enchentes,
terremotos.
IV.
Poluentes
diversos
eventualmente
podem
danificar
equipamentos
e
meios
de
armazenamento.
Representam
vulnerabilidades
dos
ativos
de
informação
o
que
consta
em:
a) I,
II,
III
e
IV.
b) II
e
III,
somente.
c) I,
II
e
IV,
somente.
d) I
e
III,
somente.
e) I,
III
e
IV,
somente.
77
-‐
Qual
das
ameaças
abaixo
não
é
uma
função
diretiva
primária
realizada
por
um
Spyware?
a) Captura
de
senhas
bancárias
e
números
de
cartões
de
crédito;
b) Alteração
ou
destruição
de
arquivos;
c) Monitoramento
de
URLs
acessadas
enquanto
o
usuário
navega
na
Internet
d) Captura
de
outras
senhas
usadas
em
sites
de
comércio
eletrônico;
e) Alteração
da
página
inicial
apresentada
no
browser
do
usuário;
78
-‐
Alguns
conceitos
relacionados
à
segurança
da
informação
estão
disponibilizados
na
Coluna
I.
Faça
a
correta
correspondência
com
seus
significados
dispostos
na
Coluna
II
.
Coluna
I
1.
Spyware
2.
Adware
3.
Engenharia
Social
4.
Backdoor
5.
Phishing
Coluna
II
(
)Técnica
que
visa
enganar
um
usuário
induzindo-‐o
a
clicar
em
um
link
que
o
levará
a
uma
página
clonada
ou
a
um
arquivo
malicioso.
(
)Software
que
insere
propagandas
em
outros
programas.
(
)Brecha
inserida
pelo
próprio
programador
de
um
sistema
para
uma
invasão.
(
)Técnica
utilizada
para
obter
informações
preciosas
com
base
em
uma
relação
de
confiança.
(
)Programa
espião.
A
sequencia
correta
é:
a) 3,
2,
4,
5,
1.
b) 3,
1,
4,
5,
2.
c) 5,1,4,3,2.
d) 5,
2,
4,
3,
1.
e) 3,
1,
5,
2,
4.
79
-‐
Qual
tipo
de
Ataque
possui
a
natureza
de
bisbilhotar
ou
monitorar
transmissões?
a) Ativo
b) Passivo
c) Forte
d) Fraco
e) Secreto
80
-‐
Qual
opção
abaixo
representa
a
descrição
doPasso
“Levantamento
das
Informações”
dentre
aqueles
que
são
realizados
para
um
ataque
de
segurança
?
a) O
atacante
procura
coletar
o
maior
número
possível
de
informações
sobre
o
"alvo
em
avaliação".
b) O
atacante
explora
a
rede
baseado
nas
informações
obtidas
na
fase
de
reconhecimento
c) O
Atacante
penetra
do
sistema
para
explorar
vulnerabilidades
encontradas
no
sistema.
d) O
atacante
tenta
manter
seu
próprio
domínio
sobre
o
sistema
e) O
atacante
de
tentar
camuflar
seus
atos
não
autorizados
com
o
objetivo
de
prolongar
sua
permanência.
81
-‐
O
papel
estratégico
dos
sistemas
de
informação
nas
empresas
cresce
a
cada
dia.
Qual
das
opções
abaixo
não
pode
ser
considerada
como
sendo
um
dos
"Propósitos
da
Informação"
dentro
das
empresas
e
organizações?
a) Habilitar
a
empresa
a
alcançar
seus
objetivos
de
ineficácia
nos
processos;
b) Habilitar
a
empresa
a
alcançar
seus
objetivos
pelo
uso
eficiente
dos
recursos
materiais;
c) Habilitar
a
empresa
a
alcançar
seus
objetivos
pelo
uso
eficiente
da
sua
tecnologia;
d) Habilitar
a
empresa
a
alcançar
seus
objetivos
pelo
uso
eficiente
dos
equipamentos;
e) Habilitar
a
empresa
a
alcançar
seus
objetivos
pelo
uso
eficiente
dos
recursos
financeiros;
82
-‐
Você
é
um
consultor
de
segurança
e
trabalha
em
projetos
de
segurança
da
informação,
que
tem
como
uma
das
suas
etapas
a
atividade
de
classificação
dos
ativos
da
organização.
Qual
das
opções
abaixo
não
representa
um
exemplo
de
Ativo
Intangível:
a) Sistema
de
Informação.
b) Imagem
da
Empresa
no
Mercado.
c) Marca
de
um
Produto.
d) Qualidade
do
Serviço.
e) Confiabilidade
de
um
Banco.
83
-‐
A
gestão
do
ciclo
de
vida
da
informação,
no
contexto
da
segurança
da
Informação,
tem
se
tornado
um
elemento
fundamental
para:
a) A
gestão
dos
usuários.
b) A
gestão
dos
negócios
da
organização
.
c) A
gestão
do
ciclo
da
informação
interna.
d) A
gestão
da
área
comercial.
e) A
gestão
de
orçamento.
84
-‐
O
advento
da
internet
e
a
globalização
transformaram
completamente
o
mundo
que
vivemos
e
consequentemente
estão
revolucionando
o
modo
de
operação
das
empresas
.
A
demanda
gradual
por
armazenamento
de
conhecimento
tem
levado
à
necessidade
de
administração
desses
dados
de
forma
confiável.
Por
que
as
organizações
devem
proteger
as
suas
informações?
a) Somente
pelo
seu
valor
financeiro
.
b) Pelos
seus
valores
estratégicos
e
qualitativos.
c) Somente
pelos
seus
valores
qualitativos
e
financeiros.
d) Pelos
seus
valores
estratégicos
e
financeiros.
e) Pelos
seus
valores
internos
e
qualitativos.
85
-‐
A
empresa
de
segurança
cibernética
IntelCrawler
descobriu
no
dia
17
de
janeiro
de
2014
ao
menos
seis
ataques
em
andamento
contra
varejistas
nos
Estados
Unidos
cujos
sistemas
de
cartão
de
crédito
estão
infectados
com
o
mesmo
tipo
de
software
malicioso
usado
para
roubar
dados
de
cerca
de
40
milhões
de
cartões
de
crédito
da
rede
Target.
O
software
malicioso
que
foi
usado
para
tal
feito
foi
o
BlackPOS.
Qual
você
acha
que
foi
o
tipo
de
vulnerabilidade
utilizada
neste
caso?
a) Vulnerabilidade
de
Mídias.
b) Vulnerabilidade
Física.
c) Vulnerabilidade
Natural.
d) Vulnerabilidade
de
Comunicação.
e) Vulnerabilidade
Software.
86
-‐
As
vulnerabilidades
mais
exploradas
nos
dias
de
hoje,
são
as
do
tipo
buffer
overflow,
que
muitas
vezes
pode
dar
privilégios
de
administrador
para
o
invasor,
rodar
códigos
maliciosos
remotamente,
burlar
particularidades
de
cada
sistema,
ataques
de
Negação
de
Serviços
(DDoS),
e
acesso
irestrito
ao
sistema.
Em
relação
a
Classificação
das
Vulnerabilidades
podemos
citar
como
exemploS
de
Vulnerabilidade
de
Hardware:
a) Possibilidade
de
desastres
naturais
(incêndios,
enchentes,
terremotos,
tempestades,
falta
de
energia).
b) Instalações
prediais
fora
dos
padrões
de
engenharia
ou
salas
de
servidores
mal
planejadas.
c) Acessos
não
autorizados
ou
perda
de
comunicação
ou
a
ausência
de
sistemas
de
criptografia
nas
comunicações.
d) Radiação
eletromagnética
pode
afetar
diversos
tipos
de
mídias
magnéticas
ou
erro
de
fabricação.
e) Falha
nos
recursos
tecnológicos
(desgaste,
obsolescência,
mau
uso)
ou
erros
durante
a
instalação.
87
-‐
Podemos
dizer
que
os
controles
que
reduzem
a
probabilidade
de
uma
ameaça
se
concretizar
ou
diminuem
o
grau
de
vulnerabilidade
do
ambiente/ativo/sistema,
reduzindo
assim
a
probabilidade
de
um
ataque
e/ou
sua
capacidade
de
gerar
efeitos
adversos
na
organização
são
consideradas:
a) Medidas
Corretivas
e
Reativas
b) Medidas
Preventivas
c) Medidas
Perceptivas
d) Métodos
Detectivos
e) Métodos
Quantitativos
88
-‐
As
ameaças
podem
ser
classificadas
quanto
a
sua
origem:
interna
ou
externa
e
quanto
a
sua
intencionalidade:
a) Voluntária,
involuntária
e
intencional
b) Intencional,
presencial
e
remota
c) Natural,
voluntária
e
involuntária
d) Natural,
presencial
e
remota
e) Intencional,
proposital
e
natural
89
-‐
A
empresa
Ypisilon
foi
invadida
através
do
seu
sistema
de
e-‐commerce.
O
ataque
ocorreu
através
do
envio
Continue navegando
Materiais relacionados
70 pág.
35 pág.
Perguntas relacionadas
Compartilhar