Baixe o app para aproveitar ainda mais
Prévia do material em texto
1a Questão (Ref.: 201201286725) Fórum de Dúvidas (1 de 13) Saiba (2) O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; 2a Questão (Ref.: 201201289292) Fórum de Dúvidas (1 de 13) Saiba (2) O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de "Informação"? Pode habilitar a empresa a alcançar seus objetivos estratégicos; Possui valor e deve ser protegida; Por si só não conduz a uma compreensão de determinado fato ou situação; É a matéria-prima para o processo administrativo da tomada de decisão; É dado trabalhado, que permite ao executivo tomar decisões; 3a Questão (Ref.: 201201455545) Fórum de Dúvidas (1 de 13) Saiba (2) A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor este princípio: Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada. Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de cancelamento posterior. Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado. Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados. Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou processos. 4a Questão (Ref.: 201201289327) Fórum de Dúvidas (1 de 13) Saiba (2) Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? Impacto. Ameaça. Valor. Vulnerabilidade. Risco. 5a Questão (Ref.: 201201289447) Fórum de Dúvidas (3 de 13) Saiba (2) Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da Informação: Tudo aquilo que a empresa usa como inventario contábil. Tudo aquilo que tem valor para a organização. Tudo aquilo que é utilizado no Balanço Patrimonial. Tudo aquilo que não manipula dados. Tudo aquilo que não possui valor específico. 6a Questão (Ref.: 201201289440) Fórum de Dúvidas (3 de 13) Saiba (2) O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas? Apoio aos Processos Apoio ao uso da Internet e do ambiente wireless Apoio à tomada de decisão empresarial Apoio às Operações Apoio às Estratégias para vantagem competitiva 1a Questão (Ref.: 201201289488) Fórum de Dúvidas (1) Saiba (0) Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿auditores¿. Um usuário de um outro grupo, o grupo ¿estudante¿, tenta acessar o sistema em busca de uma informação que somente o grupo ¿auditores¿ tem acesso e consegue. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Não-Repúdio; Confidencialidade; Integridade; Auditoria; Disponibilidade; 2a Questão (Ref.: 201201289529) Fórum de Dúvidas (1) Saiba (0) Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Segundo os conceitos da Segurança da Informação, onde devemos proteger as informações? Nas Vulnerabilidades e Ameaças. Nos Riscos. Nos Ativos . Nas Vulnerabilidades. Nas Ameaças. Gabarito Comentado 3a Questão (Ref.: 201201839000) Fórum de Dúvidas (1) Saiba (0) Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste caso houve uma falha na segurança da informação relacionada à: Integridade; Não-Repúdio; Autenticidade; Auditoria; Confidencialidade; Gabarito Comentado 4a Questão (Ref.: 201201289526) Fórum de Dúvidas (1) Saiba (0) A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para: A gestão da área comercial. A gestão do ciclo da informação interna. A gestão dos usuários. A gestão dos negócios da organização . A gestão de orçamento. 5a Questão (Ref.: 201201806155) Fórum de Dúvidas (1) Saiba (0) Você está analisando um documento e precisa verificar se os dados estão corretos. Qual aspecto de segurança da informação sobre confiabilidade você está verificando? Legalidade Privacidade Disponibilidade Não repúdio Integridade Gabarito Comentado 6a Questão (Ref.: 201201289470) Fórum de Dúvidas (1) Saiba (0) Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Confidencialidade; Integridade; Disponibilidade; Não-repúdio; Privacidade; 1a Questão (Ref.: 201201360341) Fórum de Dúvidas (1 de 5)Saiba (0) Maio/2011 - A Sony sofre invasão de hackers com o vazamento de informações de mais de 100 milhões de usuários da rede online de games PlayStation Network. O ataque à base de dados de clientes se realizou desde um servidor de aplicações conectado com ela, e que está depois de um servidor site e dois firewalls. Segundo a companhia, os hackers encobriram o ataque como uma compra na plataforma online de Sony e depois de passar do servidor site, O ataque, que foi considerado um dos maiores, no sentido do vazamento de dados confidenciais, da história obrigou a Sony a reconstruir grande parte da sua rede, causado um prejuízo de 171 milhões de Dólares. A rede também ficou fora do ar por 28 dias, sendo que alguns serviços menos essenciais foram reestabelecidos primeiro e regionalmente antes do reestabelecimento total de todos os serviços. . Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade de Mídias Vulnerabilidade de Software Vulnerabilidade Física Vulnerabilidade Natural Vulnerabilidade de Comunicação 2a Questão (Ref.: 201201492866) Fórum de Dúvidas (5) Saiba (0) Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a informação, não acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará evitando como também prevenindo a concretização de possíveis ameaças. Baseado neste fato podemos denominar como Vulnerabilidade Física: Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto, destruição de propriedades ou de dados, invasões, guerras, etc.). Acessos não autorizados ou perda de comunicação e a ausência de sistemas de criptografia nas comunicações. Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas. Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura). Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Gabarito Comentado 3a Questão (Ref.: 201201927020) Fórum de Dúvidas (1 de 5) Saiba (0) A Turner Broadcasting System (TBS), uma divisão da Time Warner que gerencia canais como CNN e Cartoon Network, revelou que sua rede foi infiltrada e atacada pelo worm Rinbot. O Rinbot conseguiu entrar na segurança da informação da TBS usando uma falha no antivírus da Symantec. A vulnerabilidade foi corrigida. O Rinbot, também chamado de Delbot pela Sophos, é um vírus semelhante ao Spybot, Agobot e outros. Ele forma uma rede zumbi com os computadores infectados, permitindo que seu criador obtenha controle total do sistema infectado. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Física. Vulnerabilidade de Comunicação. Vulnerabilidade Natural. Vulnerabilidade de Mídias. Vulnerabilidade de Software. 4a Questão (Ref.: 201201927035) Fórum de Dúvidas (5) Saiba (0) Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas tentativas de invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade de Software. Vulnerabilidade Física. Vulnerabilidade de Comunicação. Vulnerabilidade Natural. Vulnerabilidade de Mídias. 5a Questão (Ref.: 201201360344) Fórum de Dúvidas (1 de 5) Saiba (0) As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Comunicação Vulnerabilidade de Software Vulnerabilidade Mídia Vulnerabilidade Física Vulnerabilidade Natural 6a Questão (Ref.: 201201850654) Fórum de Dúvidas (5) Saiba (0) Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir. I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. Representam vulnerabilidades dos ativos de informação o que consta em: I, III e IV, somente. I e III, somente. I, II, III e IV. I, II e IV, somente. II e III, somente. 1a Questão (Ref.: 201201793340) Fórum de Dúvidas (3) Saiba (1) O que são exploits? É um programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o worm é um programa completo e não precisa de outro programa para se propagar. São programas utilizados para descobrir as senhas dos usuários. Estes programas geralmente são muito lentos, pois usam enormes dicionários com o máximo de combinações possíveis de senhas e ficam testando uma a uma até achar a senha armazenada no sistema Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar por outra máquina, utilizando a técnica de Spoofing. Quando estas solicitações começarem a ser respondidas, o sistema alvo será inundado (flood) pelas respostas do servidor. Consiste no software de computador que recolhe a informação sobre um usuário do computador e transmite então esta informação a uma entidade externa sem o conhecimento ou o consentimento informado do usuário. São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são utilizados por pessoas sem conhecimento da vulnerabilidade. Gabarito Comentado 2a Questão (Ref.: 201201286269) Fórum de Dúvidas (3) Saiba (1) Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? Ativo Forte Secreto Passivo Fraco Gabarito Comentado 3a Questão (Ref.: 201201804035) Fórum de Dúvidas (3) Saiba (1) Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( )Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: 3, 1, 4, 5, 2. 5, 2, 4, 3, 1. 3, 1, 5, 2, 4. 3, 2, 4, 5, 1. 5,1,4,3,2. 4a Questão (Ref.: 201201818919) Fórum de Dúvidas (3) Saiba (1) Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo teclado do usuário e é enviado para o invasor ? Spyware Defacement Backdoor Keylogger Phishing 5a Questão (Ref.: 201201286243) Fórum de Dúvidas (3) Saiba (1) Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código malicioso ou Malware ? worm keyloggers active-x trojan horse rootkit 6a Questão (Ref.: 201201286237) Fórum de Dúvidas (3) Saiba (1) Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador pode ser descrito como sendo um: Java Script Spyware Worm Adware Active-x 1a Questão (Ref.: 201201286308) Fórum de Dúvidas (2 de 5) Saiba (0) Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador ? Ataques de códigos pré-fabricados Ataque de Configuração mal feita Ataque para Obtenção de Informações Ataque aos Sistemas Operacionais Ataque á Aplicação Gabarito Comentado 2a Questão (Ref.: 201201837885) Fórum de Dúvidas (2 de 5) Saiba (0) João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando derrubar à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? Port Scanning SYN Flooding Ip Spoofing Fragmentação de pacotes IP Fraggle Gabarito Comentado 3a Questão (Ref.: 201201286298) Fórum de Dúvidas (2 de 5) Saiba (0) Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu objetivo o invasor tentará levantar estas informações através da escuta das portas do protocolo TCP e UDP. Neste caso estamos nos referindo a um ataque do tipo: Fragmentação de Pacotes IP Port Scanning Fraggle SYN Flooding Three-way-handshake 4a Questão (Ref.: 201201286273) Fórum de Dúvidas (2 de 5) Saiba (0) Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de Fragmentação de Pacotes IP Fraggle Buffer Overflow SQL Injection Smurf 5a Questão (Ref.: 201201455950) Fórum de Dúvidas (2 de 5) Saiba (0) Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Manutenção do acesso" nesta receita: Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans. É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. Gabarito Comentado 6a Questão (Ref.: 201201286320) Fórum de Dúvidas (2 de 5) Saiba (0) Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP , que foi mascarado pelo atacante. Smurf Shrink Wrap Code Dumpster Diving ou Trashing Phishing Scan Fraggle 1a Questão (Ref.: 201201818909) Fórum de Dúvidas (2 de 4) Saiba (0) Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta especificamente um dos três elementos da tríade da segurança da informação. Qual é o ataque ? DoS/DDoS 0day Spyware Backdoor Adware Gabarito Comentado 2a Questão (Ref.: 201201286325) Fórum de Dúvidas (2 de 4) Saiba (0) Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco: Risco real; Risco residual; Risco verdadeiro; Risco tratado; Risco percebido; 3a Questão (Ref.: 201201818779) Fórum de Dúvidas (4) Saiba (0) Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ? Phishing Rootkit Spammer Bot/Botnet Spyware Gabarito Comentado 4a Questão (Ref.: 201201286333) Fórum de Dúvidas (2 de 4) Saiba (0) Qual das opções abaixo não representa uma das etapas da Gestão de Risco: Identificar e avaliar os riscos. Manter e melhorar os controles Manter e melhorar os riscos identificados nos ativos Verificar e analisar criticamente os riscos. Selecionar, implementar e operar controles para tratar os riscos. Gabarito Comentado 5a Questão (Ref.: 201201493094) Fórum de Dúvidas (2 de 4) Saiba (0) Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação significa reconhecer as vulnerabilidades e ameaçasdo ambiente, avaliá-las e propor controles (soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" na Análise e Avaliação dos Riscos: Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo. Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita. Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização. Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco.O risco é representando em termos de possíveis perdas financeiras. Gabarito Comentado 6a Questão (Ref.: 201201286337) Fórum de Dúvidas (4) Saiba (0) Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos numéricos para os componentes associados ao risco. Método Quantitativo Método Classificatório Método Qualitativo Método Numérico. Método Exploratório. 1a Questão (Ref.: 201201286347) Fórum de Dúvidas (0) Saiba (0) Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? ISO/IEC 27005 ISO/IEC 27002 ISO/IEC 27003 ISO/IEC 27001 ISO/IEC 27004 Gabarito Comentado 2a Questão (Ref.: 201201305434) Fórum de Dúvidas (0) Saiba (0) Um Firewall pode ser definido como uma coleção de componentes, colocada entre duas redes, que coletivamente possua propriedades que: garantem que apenas o tráfego de dentro para fora da rede deve passar por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. garantem que todo o tráfego de dentro para fora da rede e vice-versa deve ser bloqueado, independentemente da política de segurança adotada. Todo firewall deve ser à prova de violação. independentemente da política de segurança adotada, tem como objetivo principal impedir a entrada de vírus em um computador, via arquivos anexados a e-mails. garantem que apenas o tráfego de fora para dentro da rede deve passar por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. garantem que todo o tráfego de dentro para fora da rede, e vice-versa, passe por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. 3a Questão (Ref.: 201201796406) Fórum de Dúvidas (0) Saiba (0) Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 1) Comitê de segurança da informação. 2) Controle. 3) Funções de software e hardware. 4) Deve ser analisado criticamente. 5) Política. ( ) Controle. ( ) Firewall. ( ) estrutura organizacional. ( ) Permissão de acesso a um servidor. ( ) Ampla divulgação das normas de segurança da informação. A combinação correta entre as duas colunas é: 2-3-1-5-4. 4-3-1-2-5. 4-3-5-2-1. 1-2-4-3-5. 5-1-4-3-2. Gabarito Comentado 4a Questão (Ref.: 201201968097) Fórum de Dúvidas (0) Saiba (0) Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações. Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra. A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência. 5a Questão (Ref.: 201201796400) Fórum de Dúvidas (0) Saiba (0) Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. Os riscos residuais são conhecidos antes da comunicação do risco. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Gabarito Comentado 6a Questão (Ref.: 201201286679) Fórum de Dúvidas (0) Saiba (0) A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: Segurança Física e do Ambiente. Segurança em Recursos Humanos. Segurança dos Ativos. Gerenciamento das Operações e Comunicações. Controle de Acesso. Gabarito Comentado 1a Questão (Ref.: 201201462245) Fórum de Dúvidas (1 de 3) Saiba (0) Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: Identificar, Analisar e avaliar os riscos. Identificar e avaliar as opções para o tratamento das vulnerabilidades. A abordagem de análise/avaliação das vulnerabilidades da organização. A política do BIA. A politica de gestão de continuidade de negócio. 2a Questão (Ref.: 201201957103) Fórum de Dúvidas (1 de 3) Saiba (0) O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio(ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação. A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. Selecionar objetivos de controle e controles para o tratamento de riscos. 3a Questão (Ref.: 201201472552) Fórum de Dúvidas (3) Saiba (0) Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Gabarito Comentado 4a Questão (Ref.: 201201850744) Fórum de Dúvidas (3) Saiba (0) Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: I e II. III e IV. I e III. II e III. II. Gabarito Comentado 5a Questão (Ref.: 201201286726) Fórum de Dúvidas (1 de 3) Saiba (0) Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações? Lógica, Física e Programada. Administrativa, Física e Programada. Administrativa, Física e Lógica. Administrativa, Contábil e Física. Lógica, Administrativa e Contábil. Gabarito Comentado 6a Questão (Ref.: 201201286714) Fórum de Dúvidas (1 de 3) Saiba (0) No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um Problema de Segurança: A perda de qualquer aspecto de segurança importante para a organização. Uma tempestade. Restrição Financeira. Uma Operação Incorreta ou Erro do usuário. Uma inundação. 1a Questão (Ref.: 201201472557) Fórum de Dúvidas (0) Saiba (0) Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade ? Análise de impacto dos negócios (BIA) Auditoria interna Análise de risco Análise de vulnerabilidade Classificação da informação Gabarito Comentado 2a Questão (Ref.: 201201493093) Fórum de Dúvidas (0) Saiba (0) O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"? Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa. Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. Gabarito Comentado 3a Questão (Ref.: 201201462271) Fórum de Dúvidas (0) Saiba (0) BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios. Estatística e Ordenada Simples e Objetiva. Qualitativa e Quantitativa Natural e Desordenada Clara e Intelegível 4a Questão (Ref.: 201201366991) Fórum de Dúvidas (0) Saiba (0) Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) esteja no nível mais altoda organização? Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas. Gabarito Comentado 5a Questão (Ref.: 201201366996) Fórum de Dúvidas (0) Saiba (0) Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações que você deve realizar: Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização. Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização. Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de produtos e serviços fundamentais para a organização. Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e serviços fundamentais para a organização. Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização. Gabarito Comentado 6a Questão (Ref.: 201201367004) Fórum de Dúvidas (0) Saiba (0) Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que: As metas e objetivos definidos sejam comprometidos por interrupções inesperadas As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas 1a Questão (Ref.: 201201367017) Fórum de Dúvidas (1) Saiba (0) Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus componentes ? Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou não confiável. Redes Não Confiáveis - Não possuem controle da administração. Redes Não Confiáveis - Não é possível informar se necessitam de proteção. Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de proteção Redes Não Confiáveis - Não possuem políticas de segurança. 2a Questão (Ref.: 201201804031) Fórum de Dúvidas (1) Saiba (0) Que cuidado deve ser tomado no armazenamento de fitas de backup fora da organização? O local de armazenamento deve estar protegido contra acessos não autorizados. O local de armazenamento deve estar protegido por guardas armados. O local de armazenamento deve ser de fácil acesso durante o expediente. O local de armazenamento deve estar a, no mínimo, 25 quilômetros da organização. O local de armazenamento deve estar a, no mínimo, 40 quilômetros da organização. 3a Questão (Ref.: 201201367018) Fórum de Dúvidas (1) Saiba (0) Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar a conexão ou não a um serviço em uma rede modo indireto ? Filtro com Pacotes Firewall de Borda Firewall Proxy Firewall com Estado Firewall Indireto 4a Questão (Ref.: 201201367012) Fórum de Dúvidas (1) Saiba (0) Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar : Um filtro de pacotes Um firewall com estado Um servidor proxy Um roteador de borda Um detector de intrusão 5a Questão (Ref.: 201201968123) Fórum de Dúvidas (1) Saiba (0) Considerando que um usuário deseje enviar um e-mail criptografado, assinale a alternativa que apresenta a chave do destinatário que esse usuário deverá conhecer para realizar corretamente a criptografia. Chave criptografada privada Chave certificada Chave criptografada pública Chave pública Chave privada 6a Questão (Ref.: 201201968117) Fórum de Dúvidas (1) Saiba (0) O fato de se poder conectar qualquer computador em qualquer lugar a qualquer outro computador pode torná- lo vulnerável. O recurso técnico para proteger essa conexão de dados é através de: PKI Esteganografia Certificação digital Firewall Proxy 1a Questão (Ref.: 201201289327) Pontos: 1,0 / 1,0 Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? Valor. Risco. Vulnerabilidade. Impacto. Ameaça. 2a Questão (Ref.: 201201289292) Pontos: 1,0 / 1,0 O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de "Informação"? Pode habilitar a empresa a alcançar seus objetivos estratégicos; Possui valor e deve ser protegida; É a matéria-prima para o processo administrativo da tomada de decisão; É dado trabalhado, que permite ao executivo tomar decisões; Por si só não conduz a uma compreensão de determinado fato ou situação; 3a Questão (Ref.: 201201289313) Pontos: 1,0 / 1,0 De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de segurança¿, podemos dizer que: A afirmação é verdadeira. A afirmação é falsa. A afirmação é somente verdadeira para as empresas privadas. A afirmação é somente falsa para as empresas privadas. A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 4a Questão (Ref.: 201201289526) Pontos: 1,0 / 1,0 A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para: A gestão de orçamento. A gestão da área comercial. A gestão do ciclo da informação interna. A gestão dos negócios da organização . A gestão dos usuários. 5a Questão (Ref.: 201201927035) Pontos: 1,0 / 1,0 Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas tentativas de invasão aos seus bancos de dados. Porém, o grandeafetado pela onda de ataques criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade de Comunicação. Vulnerabilidade de Mídias. Vulnerabilidade Física. Vulnerabilidade de Software. Vulnerabilidade Natural. 6a Questão (Ref.: 201201360341) Pontos: 1,0 / 1,0 Maio/2011 - A Sony sofre invasão de hackers com o vazamento de informações de mais de 100 milhões de usuários da rede online de games PlayStation Network. O ataque à base de dados de clientes se realizou desde um servidor de aplicações conectado com ela, e que está depois de um servidor site e dois firewalls. Segundo a companhia, os hackers encobriram o ataque como uma compra na plataforma online de Sony e depois de passar do servidor site, O ataque, que foi considerado um dos maiores, no sentido do vazamento de dados confidenciais, da história obrigou a Sony a reconstruir grande parte da sua rede, causado um prejuízo de 171 milhões de Dólares. A rede também ficou fora do ar por 28 dias, sendo que alguns serviços menos essenciais foram reestabelecidos primeiro e regionalmente antes do reestabelecimento total de todos os serviços. . Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Natural Vulnerabilidade de Comunicação Vulnerabilidade de Mídias Vulnerabilidade de Software Vulnerabilidade Física 7a Questão (Ref.: 201201286269) Pontos: 1,0 / 1,0 Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? Ativo Secreto Forte Fraco Passivo Gabarito Comentado. 8a Questão (Ref.: 201201804035) Pontos: 1,0 / 1,0 Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( ) Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: 3, 2, 4, 5, 1. 5, 2, 4, 3, 1. 5,1,4,3,2. 3, 1, 4, 5, 2. 3, 1, 5, 2, 4. 9a Questão (Ref.: 201201286281) Pontos: 1,0 / 1,0 João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? Fragmentação de pacotes IP Fraggle Ip Spoofing SYN Flooding Port Scanning 10a Questão (Ref.: 201201927489) Pontos: 0,0 / 1,0 Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital as empresas se viram obrigadas a pensar na segurança de suas informações para evitar ameaças e golpes. Assim, a segurança da informação surgiu para reduzir possíveis ataques aos sistemas empresariais e domésticos. Resumindo, a segurança da informação é uma maneira de proteger os sistemas de informação contra diversos ataques, ou seja, mantendo documentações e arquivos. Podemos citar como ítens básicos, reconhecidos, de um ataque a sistemas de informação: Estudo do atacante, Descoberta de informações e Formalização da invasão. Engenharia Social, Invasão do sistema e Alteração das informções. Levantamento das informações, Exploração das informações e Obtenção do acesso. Scaming de protocolos, Pedido de informações e Invasão do sistema. Adequação das informações, Pressão sobre os funcionários e Descoberta de senhas.
Compartilhar