Exercícios Gestão de Segurança Da Informação

Prévia do material em texto

1a Questão (Ref.: 201201286725) Fórum de Dúvidas (1 de 13) Saiba (2) 
 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções 
abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das 
empresas e organizações? 
 
 
 
Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; 
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; 
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; 
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; 
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; 
 
 
 
 
 
 
 2a Questão (Ref.: 201201289292) Fórum de Dúvidas (1 de 13) Saiba (2) 
 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a 
utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções 
abaixo não se aplica ao conceito de "Informação"? 
 
 
 
Pode habilitar a empresa a alcançar seus objetivos estratégicos; 
 
Possui valor e deve ser protegida; 
 
Por si só não conduz a uma compreensão de determinado fato ou situação; 
 
É a matéria-prima para o processo administrativo da tomada de decisão; 
 
É dado trabalhado, que permite ao executivo tomar decisões; 
 
 
 
 
 
 
 3a Questão (Ref.: 201201455545) Fórum de Dúvidas (1 de 13) Saiba (2) 
 
A segurança da informação diz respeito à proteção de determinados dados, com a intenção de 
preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas 
propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor este 
princípio: 
 
 
 
Esta propriedade indica que os dados e informações não deveriam ser alterados ou 
destruídos de maneira não autorizada e aprovada. 
 
Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, 
entidades, sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de 
cancelamento posterior. 
 
Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser 
sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado. 
 
Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar 
disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não 
autorizados e aprovados. 
 
Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, 
sistemas ou processos. 
 
 
 
 
 
 
 4a Questão (Ref.: 201201289327) Fórum de Dúvidas (1 de 13) Saiba (2) 
 
Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um 
mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o 
conceito de? 
 
 
 
Impacto. 
 
Ameaça. 
 
Valor. 
 
Vulnerabilidade. 
 
Risco. 
 
 
 
 
 
 
 5a Questão (Ref.: 201201289447) Fórum de Dúvidas (3 de 13) Saiba (2) 
 
Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados 
através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a 
Segurança da Informação: 
 
 
 
Tudo aquilo que a empresa usa como inventario contábil. 
 
Tudo aquilo que tem valor para a organização. 
 
Tudo aquilo que é utilizado no Balanço Patrimonial. 
 
Tudo aquilo que não manipula dados. 
 
Tudo aquilo que não possui valor específico. 
 
 
 
 
 
 
 6a Questão (Ref.: 201201289440) Fórum de Dúvidas (3 de 13) Saiba (2) 
 
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o 
modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da 
informação apóia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das 
opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia 
da informação nas empresas? 
 
 
 
Apoio aos Processos 
 
Apoio ao uso da Internet e do ambiente wireless 
 
Apoio à tomada de decisão empresarial 
 
Apoio às Operações 
 
Apoio às Estratégias para vantagem competitiva 
 
 1a Questão (Ref.: 201201289488) Fórum de Dúvidas (1) Saiba (0) 
 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado 
grupo de usuários denominados ¿auditores¿. Um usuário de um outro grupo, o grupo ¿estudante¿, 
tenta acessar o sistema em busca de uma informação que somente o grupo ¿auditores¿ tem acesso e 
consegue. Neste caso houve uma falha na segurança da informação para este sistema na propriedade 
relacionada à: 
 
 
 
Não-Repúdio; 
 
Confidencialidade; 
 
Integridade; 
 
Auditoria; 
 
Disponibilidade; 
 
 
 
 
 
 
 2a Questão (Ref.: 201201289529) Fórum de Dúvidas (1) Saiba (0) 
 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor 
está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar 
lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum 
valor. Segundo os conceitos da Segurança da Informação, onde devemos proteger as informações? 
 
 
 
Nas Vulnerabilidades e Ameaças. 
 
Nos Riscos. 
 
Nos Ativos . 
 
Nas Vulnerabilidades. 
 
Nas Ameaças. 
 
Gabarito Comentado 
 
 
 
 
 3a Questão (Ref.: 201201839000) Fórum de Dúvidas (1) Saiba (0) 
 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro 
que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o 
arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste caso houve 
uma falha na segurança da informação relacionada à: 
 
 
 
Integridade; 
 
Não-Repúdio; 
 
Autenticidade; 
 
Auditoria; 
 
Confidencialidade; 
 
Gabarito Comentado 
 
 
 
 
 4a Questão (Ref.: 201201289526) Fórum de Dúvidas (1) Saiba (0) 
 
A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado 
um elemento fundamental para: 
 
 
 
A gestão da área comercial. 
 
A gestão do ciclo da informação interna. 
 
A gestão dos usuários. 
 
A gestão dos negócios da organização . 
 
A gestão de orçamento. 
 
 
 
 
 
 
 5a Questão (Ref.: 201201806155) Fórum de Dúvidas (1) Saiba (0) 
 
Você está analisando um documento e precisa verificar se os dados estão corretos. Qual aspecto de 
segurança da informação sobre confiabilidade você está verificando? 
 
 
 
Legalidade 
 
Privacidade 
 
Disponibilidade 
 
Não repúdio 
 
Integridade 
 
Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201201289470) Fórum de Dúvidas (1) Saiba (0) 
 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado 
grupo de usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e 
imediatas, em um determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o 
sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. 
Neste caso houve uma falha na segurança da informação para este sistema na propriedade 
relacionada à: 
 
 
 
Confidencialidade; 
 
Integridade; 
 
Disponibilidade; 
 
Não-repúdio; 
 
Privacidade; 
 
1a Questão (Ref.: 201201360341) Fórum de Dúvidas (1 de 5)Saiba (0) 
 
Maio/2011 - A Sony sofre invasão de hackers com o vazamento de informações de mais de 100 
milhões de usuários da rede online de games PlayStation Network. O ataque à base de dados de 
clientes se realizou desde um servidor de aplicações conectado com ela, e que está depois de um 
servidor site e dois firewalls. Segundo a companhia, os hackers encobriram o ataque como uma 
compra na plataforma online de Sony e depois de passar do servidor site, O ataque, que foi 
considerado um dos maiores, no sentido do vazamento de dados confidenciais, da história obrigou a 
Sony a reconstruir grande parte da sua rede, causado um prejuízo de 171 milhões de Dólares. A rede 
também ficou fora do ar por 28 dias, sendo que alguns serviços menos essenciais foram 
reestabelecidos primeiro e regionalmente antes do reestabelecimento total de todos os serviços. . 
Qual você acha que foi a vulnerabilidade para este ataque? 
 
 
 
Vulnerabilidade de Mídias 
 
Vulnerabilidade de Software 
 
Vulnerabilidade Física 
 
Vulnerabilidade Natural 
 
Vulnerabilidade de Comunicação 
 
 
 
 
 
 
 2a Questão (Ref.: 201201492866) Fórum de Dúvidas (5) Saiba (0) 
 
Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a 
informação, não acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará 
evitando como também prevenindo a concretização de possíveis ameaças. Baseado neste fato 
podemos denominar como Vulnerabilidade Física: 
 
 
 
Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, 
roubo, furto, assalto, destruição de propriedades ou de dados, invasões, guerras, etc.). 
 
Acessos não autorizados ou perda de comunicação e a ausência de sistemas de 
criptografia nas comunicações. 
 
Instalações prediais fora dos padrões de engenharia e salas de servidores mal 
planejadas. 
 
Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de 
temperatura). 
 
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, 
falta de energia). 
 
Gabarito Comentado 
 
 
 
 
 3a Questão (Ref.: 201201927020) Fórum de Dúvidas (1 de 5) Saiba (0) 
 
A Turner Broadcasting System (TBS), uma divisão da Time Warner que gerencia canais como CNN 
e Cartoon Network, revelou que sua rede foi infiltrada e atacada pelo worm Rinbot. O Rinbot 
conseguiu entrar na segurança da informação da TBS usando uma falha no antivírus da Symantec. A 
vulnerabilidade foi corrigida. O Rinbot, também chamado de Delbot pela Sophos, é um vírus 
semelhante ao Spybot, Agobot e outros. Ele forma uma rede zumbi com os computadores 
infectados, permitindo que seu criador obtenha controle total do sistema infectado. Qual você acha 
que foi o tipo de vulnerabilidade utilizada neste caso? 
 
 
 
Vulnerabilidade Física. 
 
Vulnerabilidade de Comunicação. 
 
Vulnerabilidade Natural. 
 
Vulnerabilidade de Mídias. 
 
Vulnerabilidade de Software. 
 
 
 
 
 
 
 4a Questão (Ref.: 201201927035) Fórum de Dúvidas (5) Saiba (0) 
 
Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas 
tentativas de invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques 
criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não 
identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o 
tipo de vulnerabilidade utilizada neste caso? 
 
 
 
Vulnerabilidade de Software. 
 
Vulnerabilidade Física. 
 
Vulnerabilidade de Comunicação. 
 
Vulnerabilidade Natural. 
 
Vulnerabilidade de Mídias. 
 
 
 
 
 
 
 5a Questão (Ref.: 201201360344) Fórum de Dúvidas (1 de 5) Saiba (0) 
 
As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam 
em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de 
imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de 
ataques cibernéticos destinados a acessar as contas de e-mail de ativistas chineses de direitos 
humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e 
programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a 
vulnerabilidade para este ataque? 
 
 
 
Vulnerabilidade Comunicação 
 
Vulnerabilidade de Software 
 
Vulnerabilidade Mídia 
 
Vulnerabilidade Física 
 
Vulnerabilidade Natural 
 
 
 
 
 
 
 6a Questão (Ref.: 201201850654) Fórum de Dúvidas (5) Saiba (0) 
 
Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, 
intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da 
informação. Com base nessa informação, analise os itens a seguir. 
 
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto 
pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. 
 
II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos 
de informação. 
 
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. 
 
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. 
 
Representam vulnerabilidades dos ativos de informação o que consta em: 
 
 
 
I, III e IV, somente. 
 
I e III, somente. 
 
I, II, III e IV. 
 
I, II e IV, somente. 
 
II e III, somente. 
 
 1a Questão (Ref.: 201201793340) Fórum de Dúvidas (3) Saiba (1) 
 
O que são exploits? 
 
 
 
É um programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e 
necessita deste programa hospedeiro para se propagar, o worm é um programa completo e não 
precisa de outro programa para se propagar. 
 
São programas utilizados para descobrir as senhas dos usuários. Estes programas geralmente 
são muito lentos, pois usam enormes dicionários com o máximo de combinações possíveis de 
senhas e ficam testando uma a uma até achar a senha armazenada no sistema 
 
Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar por 
outra máquina, utilizando a técnica de Spoofing. Quando estas solicitações começarem a ser 
respondidas, o sistema alvo será inundado (flood) pelas respostas do servidor. 
 
Consiste no software de computador que recolhe a informação sobre um usuário do 
computador e transmite então esta informação a uma entidade externa sem o conhecimento ou 
o consentimento informado do usuário. 
 
São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades 
conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são utilizados por pessoas 
sem conhecimento da vulnerabilidade. 
 
Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201201286269) Fórum de Dúvidas (3) Saiba (1) 
 
Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? 
 
 
 
Ativo 
 
Forte 
 
Secreto 
 
Passivo 
 
Fraco 
 
Gabarito Comentado 
 
 
 
 
 3a Questão (Ref.: 201201804035) Fórum de Dúvidas (3) Saiba (1) 
 
Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a 
correta correspondência com seus significados dispostos na Coluna II . 
 
Coluna I 
 
1. Spyware 
2. Adware 
3. Engenharia Social 
4. Backdoor 
5. Phishing 
 
Coluna II 
 
( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página 
clonada ou a um arquivo malicioso. 
( )Software que insere propagandas em outros programas. 
( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. 
( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. 
( ) Programa espião. 
 
 
A sequencia correta é: 
 
 
 
3, 1, 4, 5, 2. 
 
5, 2, 4, 3, 1. 
 
3, 1, 5, 2, 4. 
 
3, 2, 4, 5, 1. 
 
5,1,4,3,2. 
 
 
 
 
 
 
 4a Questão (Ref.: 201201818919) Fórum de Dúvidas (3) Saiba (1) 
 
Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo 
teclado do usuário e é enviado para o invasor ? 
 
 
 
Spyware 
 
Defacement 
 
Backdoor 
 
Keylogger 
 
Phishing 
 
 
 
 
 
 
 5a Questão (Ref.: 201201286243) Fórum de Dúvidas (3) Saiba (1) 
 
Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código malicioso 
ou Malware ? 
 
 
 
worm 
 
keyloggers 
 
active-x 
 
trojan horse 
 
rootkit 
 
 
 
 
 
 
 6a Questão (Ref.: 201201286237) Fórum de Dúvidas (3) Saiba (1) 
 
Um tipo de software especificamente projetado para apresentar propagandas, seja através de um 
browser, seja através de algum outro programa instalado em um computador pode ser descrito como 
sendo um: 
 
 
 
Java Script 
 
Spyware 
 
Worm 
 
Adware 
 
Active-x 
 
 1a Questão (Ref.: 201201286308) Fórum de Dúvidas (2 de 5) Saiba (0) 
 
Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um 
endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão 
sendo executados em cada computador ? 
 
 
 
Ataques de códigos pré-fabricados 
 
Ataque de Configuração mal feita 
 
Ataque para Obtenção de Informações 
 
Ataque aos Sistemas Operacionais 
 
Ataque á Aplicação 
 
Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201201837885) Fórum de Dúvidas (2 de 5) Saiba (0) 
 
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando derrubar à rede 
através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor 
WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? 
 
 
 
Port Scanning 
 
SYN Flooding 
 
Ip Spoofing 
 
Fragmentação de pacotes IP 
 
Fraggle 
 
Gabarito Comentado 
 
 
 
 
 3a Questão (Ref.: 201201286298) Fórum de Dúvidas (2 de 5) Saiba (0) 
 
Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será 
necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o 
seu objetivo o invasor tentará levantar estas informações através da escuta das portas do protocolo 
TCP e UDP. Neste caso estamos nos referindo a um ataque do tipo: 
 
 
 
Fragmentação de Pacotes IP 
 
Port Scanning 
 
Fraggle 
 
SYN Flooding 
 
Three-way-handshake 
 
 
 
 
 
 
 4a Questão (Ref.: 201201286273) Fórum de Dúvidas (2 de 5) Saiba (0) 
 
Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de 
um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao 
banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de 
 
 
 
Fragmentação de Pacotes IP 
 
Fraggle 
 
Buffer Overflow 
 
SQL Injection 
 
Smurf 
 
 
 
 
 
 
 5a Questão (Ref.: 201201455950) Fórum de Dúvidas (2 de 5) Saiba (0) 
 
Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas 
foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que 
sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo 
tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma 
receita nossa conhecida, qual seria a melhor forma de definir a fase de "Manutenção do acesso" 
nesta receita: 
 
 
 
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não 
autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na 
utilização indevida dos recursos computacionais. 
 
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também 
protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através 
de rootkits, backdoors ou trojans. 
 
É uma fase preparatória onde o atacante procura coletar o maior número possível de 
informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. 
 
Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as 
vulnerabilidades encontradas no sistema. 
 
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de 
reconhecimento. 
 
Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201201286320) Fórum de Dúvidas (2 de 5) Saiba (0) 
 
Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de 
pacotes PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem 
utilizado é o endereço IP da vítima desejada, de forma que todos os hosts do domínio de broadcast 
irão responder para este endereço IP , que foi mascarado pelo atacante. 
 
 
 
Smurf 
 
Shrink Wrap Code 
 
Dumpster Diving ou Trashing 
 
Phishing Scan 
 
Fraggle 
 
 1a Questão (Ref.: 201201818909) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta 
especificamente um dos três elementos da tríade da segurança da informação. Qual é o ataque ? 
 
 
 
DoS/DDoS 
 
0day 
 
Spyware 
 
Backdoor 
 
Adware 
 
Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201201286325) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas 
as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é 
eliminada. Neste caso estamos nos referindo a que tipo de risco: 
 
 
 
Risco real; 
 
Risco residual; 
 
Risco verdadeiro; 
 
Risco tratado; 
 
Risco percebido; 
 
 
 
 
 
 
 3a Questão (Ref.: 201201818779) Fórum de Dúvidas (4) Saiba (0) 
 
Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las 
posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ? 
 
 
 
Phishing 
 
Rootkit 
 
Spammer 
 
Bot/Botnet 
 
Spyware 
 
Gabarito Comentado 
 
 
 
 
 4a Questão (Ref.: 201201286333) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
Qual das opções abaixo não representa uma das etapas da Gestão de Risco: 
 
 
 
Identificar e avaliar os riscos. 
 
Manter e melhorar os controles 
 
Manter e melhorar os riscos identificados nos ativos 
 
Verificar e analisar criticamente os riscos. 
 
Selecionar, implementar e operar controles para tratar os riscos. 
 
Gabarito Comentado 
 
 
 
 
 5a Questão (Ref.: 201201493094) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os 
riscos de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a 
mitigação destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de 
Segurança da Informação significa reconhecer as vulnerabilidades e ameaçasdo ambiente, avaliá-las 
e propor controles (soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como 
podemos definir o método "quantitativo" na Análise e Avaliação dos Riscos: 
 
 
 
Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos 
com menções mais subjetivas como alto, médio e baixo. 
 
Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do 
dano, reduzi-lo ou impedir que se repita. 
 
Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau 
de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um 
ataque e/ou sua capacidade de gerar efeitos adversos na organização. 
 
Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos 
componentes do risco que foram levantados. 
 
A métrica é feita através de uma metodologia na qual tentamos quantificar em termos 
numéricos os componentes associados ao risco.O risco é representando em termos de 
possíveis perdas financeiras. 
 
Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201201286337) Fórum de Dúvidas (4) Saiba (0) 
 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos 
onde são utilizados termos numéricos para os componentes associados ao risco. 
 
 
 
Método Quantitativo 
 
Método Classificatório 
 
Método Qualitativo 
 
Método Numérico. 
 
Método Exploratório. 
 
 
 
 
1a Questão (Ref.: 201201286347) Fórum de Dúvidas (0) Saiba (0) 
 
Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 
27000 ? 
 
 
 
ISO/IEC 27005 
 
ISO/IEC 27002 
 
ISO/IEC 27003 
 
ISO/IEC 27001 
 
ISO/IEC 27004 
 
Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201201305434) Fórum de Dúvidas (0) Saiba (0) 
 
Um Firewall pode ser definido como uma coleção de componentes, colocada entre duas redes, que 
coletivamente possua propriedades que: 
 
 
 
garantem que apenas o tráfego de dentro para fora da rede deve passar por ele. Somente o 
tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve 
ser à prova de violação. 
 
garantem que todo o tráfego de dentro para fora da rede e vice-versa deve ser bloqueado, 
independentemente da política de segurança adotada. Todo firewall deve ser à prova de 
violação. 
 
independentemente da política de segurança adotada, tem como objetivo principal impedir a 
entrada de vírus em um computador, via arquivos anexados a e-mails. 
 
garantem que apenas o tráfego de fora para dentro da rede deve passar por ele. Somente o 
tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve 
ser à prova de violação. 
 
garantem que todo o tráfego de dentro para fora da rede, e vice-versa, passe por ele. Somente 
o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele 
deve ser à prova de violação. 
 
 
 
 
 
 
 3a Questão (Ref.: 201201796406) Fórum de Dúvidas (0) Saiba (0) 
 
Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 
1) Comitê de segurança da informação. 
2) Controle. 
3) Funções de software e hardware. 
4) Deve ser analisado criticamente. 
5) Política. 
( ) Controle. 
( ) Firewall. 
( ) estrutura organizacional. 
( ) Permissão de acesso a um servidor. 
( ) Ampla divulgação das normas de segurança da informação. 
A combinação correta entre as duas colunas é: 
 
 
 
2-3-1-5-4. 
 
4-3-1-2-5. 
 
4-3-5-2-1. 
 
1-2-4-3-5. 
 
5-1-4-3-2. 
 
Gabarito Comentado 
 
 
 
 
 4a Questão (Ref.: 201201968097) Fórum de Dúvidas (0) Saiba (0) 
 
Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: 
 
 
 
Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados 
para atender aos requisitos identificados exclusivamente por meio da classificação das 
informações. 
 
Um incidente de segurança da informação é indicado por um evento de segurança da 
informação esperado, que tenha uma grande probabilidade de comprometer as operações do 
negócio e ameaçar a segurança da informação. 
 
Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam 
de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os 
fundamentos sobre os quais toda a família está baseada e se integra. 
 
A gestão de riscos consiste no processo de seleção e implementação de medidas para 
modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a 
aceitação de riscos. 
 
Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias 
principais de segurança e uma seção introdutória que aborda a questões de contingência. 
 
 
 
 
 
 
 5a Questão (Ref.: 201201796400) Fórum de Dúvidas (0) Saiba (0) 
 
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de 
segurança da informação. 
 
 
 
Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas 
após a aceitação do plano de tratamento do risco pelos gestores da organização. 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
 
A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 
Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201201286679) Fórum de Dúvidas (0) Saiba (0) 
 
A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não 
autorizado, danos e interferências com as instalações e informações da organização. Neste caso a 
NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: 
 
 
 
Segurança Física e do Ambiente. 
 
Segurança em Recursos Humanos. 
 
Segurança dos Ativos. 
 
Gerenciamento das Operações e Comunicações. 
 
Controle de Acesso. 
 
Gabarito Comentado 
 
 1a Questão (Ref.: 201201462245) Fórum de Dúvidas (1 de 3) Saiba (0) 
 
Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A 
segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um 
Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com 
o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, 
reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e 
as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO - a organização deve inicialmente definir: 
 
 
 
Identificar, Analisar e avaliar os riscos. 
 
Identificar e avaliar as opções para o tratamento das vulnerabilidades. 
 
A abordagem de análise/avaliação das vulnerabilidades da organização. 
 
A política do BIA. 
 
A politica de gestão de continuidade de negócio. 
 
 
 
 
 
 
 2a Questão (Ref.: 201201957103) Fórum de Dúvidas (1 de 3) Saiba (0) 
 
O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, 
industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, 
manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, 
conforme a peculiaridade de cada negócio(ambiente). Pois a Segurança da Informação (SI) é 
norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares 
e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa 
deve implementar na etapa Do: 
 
 
 
A organização deve implementar procedimentos de monitoração e análise crítica para 
detectar erros nos resultados de processamento e identificar os incidentes de segurança 
da informação. 
 
A organização deve implementar as melhorias identificadas no SGSI. Deve ainda 
executar as ações preventivas e corretivas necessárias para o bom funcionamento do 
SGSI. 
 
A organização deve implementar e operar a política, controles, processos e 
procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. 
 
O escopo do SGSI alinhado com as características de negócio, da organização, sua 
localização, ativos e tecnologia. 
 
Selecionar objetivos de controle e controles para o tratamento de riscos. 
 
 
 
 
 
 
 3a Questão (Ref.: 201201472552) Fórum de Dúvidas (3) Saiba (0) 
 
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma 
são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são 
obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: 
 
 
 
Responsabilidade da direção, auditorias internas, controle de registros, sistema de 
gestão de segurança da informação. 
 
Sistema de gestão de segurança da informação, responsabilidade da direção, análise 
crítica do SGSI pela direção e Melhoria do SGSI 
 
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e 
melhoria do SGSI 
 
Sistema de gestão de segurança da informação, classificação da informação, auditoria 
internas e análise de risco. 
 
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias 
internas 
 
Gabarito Comentado 
 
 
 
 
 4a Questão (Ref.: 201201850744) Fórum de Dúvidas (3) Saiba (0) 
 
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o 
que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do 
controle. 
 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, 
manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da 
organização. 
 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as 
organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles 
considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e 
as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser 
fornecidas. 
 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo 
claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos 
em outras áreas, se necessário. 
 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: 
 
 
 
I e II. 
 
III e IV. 
 
I e III. 
 
II e III. 
 
II. 
 
Gabarito Comentado 
 
 
 
 
 5a Questão (Ref.: 201201286726) Fórum de Dúvidas (1 de 3) Saiba (0) 
 
Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os 
ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os 
tipos proteção possíveis de serem aplicadas às organizações? 
 
 
 
Lógica, Física e Programada. 
 
Administrativa, Física e Programada. 
 
Administrativa, Física e Lógica. 
 
Administrativa, Contábil e Física. 
 
Lógica, Administrativa e Contábil. 
 
Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201201286714) Fórum de Dúvidas (1 de 3) Saiba (0) 
 
No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como 
um Problema de Segurança: 
 
 
 
A perda de qualquer aspecto de segurança importante para a organização. 
 
Uma tempestade. 
 
Restrição Financeira. 
 
Uma Operação Incorreta ou Erro do usuário. 
 
Uma inundação. 
 
 1a Questão (Ref.: 201201472557) Fórum de Dúvidas (0) Saiba (0) 
 
Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 
15999, que as organizações devem implementar para a identificação das atividades críticas e que 
serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de 
continuidade ? 
 
 
 
Análise de impacto dos negócios (BIA) 
 
Auditoria interna 
 
Análise de risco 
 
Análise de vulnerabilidade 
 
Classificação da informação 
 
Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201201493093) Fórum de Dúvidas (0) Saiba (0) 
 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e 
que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. 
Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas 
necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o 
elemento "Desenvolvendo e Implementando"? 
 
 
 
Para o estabelecimento do programa de GCN é necessário entender a organização para 
definir a priorização dos produtos e serviços da organização e a urgência das atividades que 
são necessárias para fornecê-los. 
 
Para que às partes interessadas tenham confiança quanto à capacidade da organização de 
sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos 
valores da organização, através da sua inclusão na cultura da empresa. 
 
Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo 
que a organização possa continuar fornecendo seus produtos e serviços em um nível 
operacional e quantidade de tempo aceitável durante e logo após uma interrupção. 
 
A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e 
precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda 
identificada as oportunidades de melhorias possíveis. 
 
Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de 
incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a 
serem tomados durante e após um incidente , para manter ou restaurar as operações. 
 
Gabarito Comentado 
 
 
 
 
 3a Questão (Ref.: 201201462271) Fórum de Dúvidas (0) Saiba (0) 
 
BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de 
Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma 
............................e........................... dos principais processos de negócios mapeados e entendidos na 
organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de 
Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da 
Continuidade de Negócios. 
 
 
 
Estatística e Ordenada 
 
Simples e Objetiva. 
 
Qualitativa e Quantitativa 
 
Natural e Desordenada 
 
Clara e Intelegível 
 
 
 
 
 
 
 4a Questão (Ref.: 201201366991) Fórum de Dúvidas (0) Saiba (0) 
 
Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de 
Negócio (GCN) esteja no nível mais altoda organização? 
 
 
 
Para garantir que as metas e objetivos dos clientes não sejam comprometidos por 
interrupções inesperadas. 
 
Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções 
inesperadas. 
 
Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por 
interrupções inesperadas. 
 
Para garantir que as metas e objetivos dos usuários não sejam comprometidos por 
interrupções inesperadas. 
 
Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções 
inesperadas. 
 
Gabarito Comentado 
 
 
 
 
 5a Questão (Ref.: 201201366996) Fórum de Dúvidas (0) Saiba (0) 
 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua 
organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção 
que melhor retrata as ações que você deve realizar: 
 
 
 
Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de 
produtos e serviços desnecessários para a organização. 
 
Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de 
produtos e serviços desnecessários para a organização. 
 
Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a 
entrega de produtos e serviços fundamentais para a organização. 
 
Levantar o grau de relevância dos processos ou hardware que compõe a entrega de 
produtos e serviços fundamentais para a organização. 
 
Levantar o grau de relevância dos processos ou atividades que compõe a entrega de 
produtos e serviços fundamentais para a organização. 
 
Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201201367004) Fórum de Dúvidas (0) Saiba (0) 
 
Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível 
mais alto da organização para garantir que: 
 
 
 
As metas e objetivos definidos sejam comprometidos por 
interrupções inesperadas 
 
As metas e objetivos definidos não sejam comprometidos por 
interrupções inesperadas 
 
As metas e objetivos dos usuários sejam comprometidos por 
interrupções inesperadas 
 
As metas e objetivos da alta Direção sejam comprometidos 
por interrupções inesperadas 
 
As metas e objetivos dos clientes sejam comprometidos por 
interrupções inesperadas 
 
1a Questão (Ref.: 201201367017) Fórum de Dúvidas (1) Saiba (0) 
 
Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e 
seus componentes ? 
 
 
 
Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou 
não confiável. 
 
Redes Não Confiáveis - Não possuem controle da administração. 
 
Redes Não Confiáveis - Não é possível informar se necessitam de proteção. 
 
Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de 
proteção 
 
Redes Não Confiáveis - Não possuem políticas de segurança. 
 
 
 
 
 
 
 2a Questão (Ref.: 201201804031) Fórum de Dúvidas (1) Saiba (0) 
 
Que cuidado deve ser tomado no armazenamento de fitas de backup fora da organização? 
 
 
 
O local de armazenamento deve estar protegido contra acessos não autorizados. 
 
O local de armazenamento deve estar protegido por guardas armados. 
 
O local de armazenamento deve ser de fácil acesso durante o expediente. 
 
O local de armazenamento deve estar a, no mínimo, 25 quilômetros da organização. 
 
O local de armazenamento deve estar a, no mínimo, 40 quilômetros da organização. 
 
 
 
 
 
 
 3a Questão (Ref.: 201201367018) Fórum de Dúvidas (1) Saiba (0) 
 
Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem 
ser classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que 
permite executar a conexão ou não a um serviço em uma rede modo indireto ? 
 
 
 
Filtro com Pacotes 
 
Firewall de Borda 
 
Firewall Proxy 
 
Firewall com Estado 
 
Firewall Indireto 
 
 
 
 
 
 
 4a Questão (Ref.: 201201367012) Fórum de Dúvidas (1) Saiba (0) 
 
Você trabalha na área de administração de rede e para aumentar as medidas de segurança já 
implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, 
impedindo que os hosts internos e externos se comuniquem diretamente. Neste caso você optará por 
implementar : 
 
 
 
Um filtro de pacotes 
 
Um firewall com estado 
 
Um servidor proxy 
 
Um roteador de borda 
 
Um detector de intrusão 
 
 
 
 
 
 
 5a Questão (Ref.: 201201968123) Fórum de Dúvidas (1) Saiba (0) 
 
Considerando que um usuário deseje enviar um e-mail criptografado, assinale a alternativa que 
apresenta a chave do destinatário que esse usuário deverá conhecer para realizar corretamente a 
criptografia. 
 
 
 
Chave criptografada privada 
 
Chave certificada 
 
Chave criptografada pública 
 
Chave pública 
 
Chave privada 
 
 
 
 
 
 
 6a Questão (Ref.: 201201968117) Fórum de Dúvidas (1) Saiba (0) 
 
O fato de se poder conectar qualquer computador em qualquer lugar a qualquer outro computador 
pode torná- lo vulnerável. O recurso técnico para proteger essa conexão de dados é através de: 
 
 
 
PKI 
 
Esteganografia 
 
Certificação digital 
 
Firewall 
 
Proxy 
 
 1a Questão (Ref.: 201201289327) Pontos: 1,0 / 1,0 
Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um 
mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o 
conceito de? 
 
 
 
Valor. 
 
Risco. 
 
Vulnerabilidade. 
 
Impacto. 
 
Ameaça. 
 
 
 
 
 
 2a Questão (Ref.: 201201289292) Pontos: 1,0 / 1,0 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a 
utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções 
abaixo não se aplica ao conceito de "Informação"? 
 
 
 
Pode habilitar a empresa a alcançar seus objetivos estratégicos; 
 
Possui valor e deve ser protegida; 
 
É a matéria-prima para o processo administrativo da tomada de decisão; 
 
É dado trabalhado, que permite ao executivo tomar decisões; 
 
Por si só não conduz a uma compreensão de determinado fato ou situação; 
 
 
 
 
 
 3a Questão (Ref.: 201201289313) Pontos: 1,0 / 1,0 
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios 
da CID difere de empresa para empresa, pois cada empresa possui uma combinação única de 
requisitos de negócio e de segurança¿, podemos dizer que: 
 
 
 
A afirmação é verdadeira. 
 
A afirmação é falsa. 
 
A afirmação é somente verdadeira para as empresas privadas. 
 
A afirmação é somente falsa para as empresas privadas. 
 
A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
 
 
 
 
 
 4a Questão (Ref.: 201201289526) Pontos: 1,0 / 1,0 
A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado 
um elemento fundamental para: 
 
 
 
A gestão de orçamento. 
 
A gestão da área comercial. 
 
A gestão do ciclo da informação interna. 
 
A gestão dos negócios da organização . 
 
A gestão dos usuários. 
 
 
 
 
 
 5a Questão (Ref.: 201201927035) Pontos: 1,0 / 1,0 
Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas 
tentativas de invasão aos seus bancos de dados. Porém, o grandeafetado pela onda de ataques 
criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não 
identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o 
tipo de vulnerabilidade utilizada neste caso? 
 
 
 
Vulnerabilidade de Comunicação. 
 
Vulnerabilidade de Mídias. 
 
Vulnerabilidade Física. 
 
Vulnerabilidade de Software. 
 
Vulnerabilidade Natural. 
 
 
 
 
 
 6a Questão (Ref.: 201201360341) Pontos: 1,0 / 1,0 
Maio/2011 - A Sony sofre invasão de hackers com o vazamento de informações de mais de 100 
milhões de usuários da rede online de games PlayStation Network. O ataque à base de dados de 
clientes se realizou desde um servidor de aplicações conectado com ela, e que está depois de um 
servidor site e dois firewalls. Segundo a companhia, os hackers encobriram o ataque como uma 
compra na plataforma online de Sony e depois de passar do servidor site, O ataque, que foi 
considerado um dos maiores, no sentido do vazamento de dados confidenciais, da história obrigou a 
Sony a reconstruir grande parte da sua rede, causado um prejuízo de 171 milhões de Dólares. A rede 
também ficou fora do ar por 28 dias, sendo que alguns serviços menos essenciais foram 
reestabelecidos primeiro e regionalmente antes do reestabelecimento total de todos os serviços. . 
Qual você acha que foi a vulnerabilidade para este ataque? 
 
 
 
Vulnerabilidade Natural 
 
Vulnerabilidade de Comunicação 
 
Vulnerabilidade de Mídias 
 
Vulnerabilidade de Software 
 
Vulnerabilidade Física 
 
 
 
 
 
 7a Questão (Ref.: 201201286269) Pontos: 1,0 / 1,0 
Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? 
 
 
 
Ativo 
 
Secreto 
 
Forte 
 
Fraco 
 
Passivo 
Gabarito Comentado. 
 
 
 
 
 8a Questão (Ref.: 201201804035) Pontos: 1,0 / 1,0 
Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a 
correta correspondência com seus significados dispostos na Coluna II . 
 
Coluna I 
 
1. Spyware 
2. Adware 
3. Engenharia Social 
4. Backdoor 
5. Phishing 
 
Coluna II 
 
( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página 
clonada ou a um arquivo malicioso. 
( ) Software que insere propagandas em outros programas. 
( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. 
( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. 
( ) Programa espião. 
 
 
A sequencia correta é: 
 
 
 
3, 2, 4, 5, 1. 
 
5, 2, 4, 3, 1. 
 
5,1,4,3,2. 
 
3, 1, 4, 5, 2. 
 
3, 1, 5, 2, 4. 
 
 
 
 
 
 9a Questão (Ref.: 201201286281) Pontos: 1,0 / 1,0 
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à 
rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o 
servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? 
 
 
 
Fragmentação de pacotes IP 
 
Fraggle 
 
Ip Spoofing 
 
SYN Flooding 
 
Port Scanning 
 
 
 
 
 
 10a Questão (Ref.: 201201927489) Pontos: 0,0 / 1,0 
Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital as 
empresas se viram obrigadas a pensar na segurança de suas informações para evitar ameaças e 
golpes. Assim, a segurança da informação surgiu para reduzir possíveis ataques aos sistemas 
empresariais e domésticos. Resumindo, a segurança da informação é uma maneira de proteger os 
sistemas de informação contra diversos ataques, ou seja, mantendo documentações e arquivos. 
Podemos citar como ítens básicos, reconhecidos, de um ataque a sistemas de informação: 
 
 
 
Estudo do atacante, Descoberta de informações e Formalização da invasão. 
 
Engenharia Social, Invasão do sistema e Alteração das informções. 
 
Levantamento das informações, Exploração das informações e Obtenção do acesso. 
 
Scaming de protocolos, Pedido de informações e Invasão do sistema. 
 
Adequação das informações, Pressão sobre os funcionários e Descoberta de senhas.