GESTÃO DE SEGURANÇA DA INFORMAÇÃO 1500 pg

Prévia do material em texto

20/04/2015 BDQ Prova
http://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cript_hist=1411104800&p1=875732696701309440&pag_voltar=otacka 1/3
   GESTÃO DE SEGURANÇA DA INFORMAÇÃO
 Retornar
Exercício: Matrícula:
Aluno(a): Data: 27/02/2015 22:48:21 (Finalizada)
  1a Questão (Ref.: 201107315711)  Fórum de Dúvidas (3)       Saiba   (0)
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas
redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as
informações estão expostas deve­se imediatamente iniciar um processo de segurança física e lógica, com o
intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao
ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos
definir o que são vulnerabilidades:
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou
confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a
computadores ou informações.
É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados
através da utilização de SQL.
São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos,
tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc.
Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões,
criadores e disseminadores de vírus de computadores, incendiários.
  Pontos fracos em que os ativos estão suscetíveis a ataques ­ fatores negativos internos. Permitem o
aparecimento de ameaças potenciais à continuidade dos negócios das organizações.
  2a Questão (Ref.: 201107626867)  Fórum de Dúvidas (3)       Saiba   (0)
O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que
chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação?
Risco
Dependência
Problema
  Ameaça
Vulnerabilidade
 Gabarito Comentado
  3a Questão (Ref.: 201107278744)  Fórum de Dúvidas (3)       Saiba   (0)
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode
dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades
de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a
Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware:
  Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas
comunicações.
Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
20/04/2015 BDQ Prova
http://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cript_hist=1411104800&p1=875732696701309440&pag_voltar=otacka 2/3
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
  4a Questão (Ref.: 201107278748)  Fórum de Dúvidas (3)       Saiba   (0)
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode
dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades
de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a
Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Software:
Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
  Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações,
perda de dados ou indisponibilidade de recursos quando necessários.
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
  5a Questão (Ref.: 201107295382)  Fórum de Dúvidas (3)       Saiba   (0)
Observe a figura acima e complete corretamente a legenda dos desenhos:
 
Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos
Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios
Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios
  Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos
Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios
  6a Questão (Ref.: 201107183194)  Fórum de Dúvidas (3)       Saiba   (0)
Ataque ao site do IBGE ­ Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar,
antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de
natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para
varias instituições governamentais, acredita­se que foram utilizados mais de 2 bilhões de acesso no caso foi
utilizado um Denial­of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não
comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a
vulnerabilidade para este ataque?
Vulnerabilidade Natural
20/04/2015 BDQ Prova
http://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cript_hist=1411104800&p1=875732696701309440&pag_voltar=otacka 3/3
  Vulnerabilidade Software
Vulnerabilidade Física
  Vulnerabilidade Comunicação
Vulnerabilidade Mídias
 Retornar
 
 
22/04/2015 BDQ Prova
http://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cript_hist=1734204384&p1=963305966371440384&pag_voltar=otacka 1/2
   GESTÃO DE SEGURANÇA DA INFORMAÇÃO
 Retornar
Exercício: Matrícula:
Aluno(a): Data: 13/04/2015 00:02:09 (Finalizada)
  1a Questão (Ref.: 201107109165)  Fórum de Dúvidas (5)       Saiba   (0)
Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das
opções abaixo Não representa um destes passos?
Camuflagem das Evidências
Levantamento das Informações
Exploração das Informações
Obtenção de Acesso
  Divulgação do Ataque
  2a Questão (Ref.: 201107109167)  Fórum de Dúvidas (5)       Saiba   (0)
Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções
abaixo Não representa um destes tipos de ataques?
  Ataques Genéricos
Ataque aos Sistemas Operacionais
Ataque à Aplicação
Ataque para Obtenção de Informações
Ataque de Configuração mal feita
  3a Questão (Ref.: 201107284028)  Fórum de Dúvidas (5)       Saiba   (0)
Suponha que um hacker esteja planejando um ataque a uma empresa. Inicialmente irá utilizar diversos
artifícios e mecanismos para se aproximar da empresa ou rede a ser atacada. Como se chama este primeiro
passo do atacante?
Acessando a empresa
  Levantamento das Informações de forma passiva.
Explorando informações.
Levantamento das Informações de forma ativa
  Engenharia Social
  4a Questão (Ref.: 201107109138)  Fórum de Dúvidas (5)       Saiba   (0)
A empresa Ypisilon foi invadida através do seu sistema de e­commerce. O ataque ocorreu através do envio de
informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi
utilizado um ataque de:
22/04/2015 BDQ Prova
http://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cript_hist=1734204384&p1=963305966371440384&pag_voltar=otacka2/2
Fraggle
Smurf
  SQL injection
Fragmentação de pacotes IP
  Buffer Overflow
  5a Questão (Ref.: 201107109159)  Fórum de Dúvidas (5)       Saiba   (0)
Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço
específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em
cada computador ?
Ataque á Aplicação
Ataques de códigos pré­fabricados
  Ataque para Obtenção de Informações
Ataque aos Sistemas Operacionais
Ataque de Configuração mal feita
 Gabarito Comentado
  6a Questão (Ref.: 201107660736)  Fórum de Dúvidas (5)       Saiba   (0)
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando derrubar à rede através
do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa.
Qual o tipo de ataque que o invasor está tentando utilizar?
Port Scanning
Fraggle
Ip Spoofing
Fragmentação de pacotes IP
  SYN Flooding
 Gabarito Comentado
 Retornar
 
 
04/05/2015 BDQ Prova
http://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cript_hist=425105800&p1=218933174175327360&pag_voltar=otacka 1/3
   GESTÃO DE SEGURANÇA DA INFORMAÇÃO
 Retornar
Exercício: Matrícula:
Aluno(a): Data: 03/05/2015 10:39:23 (Finalizada)
  1a Questão (Ref.: 201107109198)  Fórum de Dúvidas (0)       Saiba   (0)
Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ?
ISO/IEC 27003
  ISO/IEC 27002
ISO/IEC 27004
ISO/IEC 27001
  ISO/IEC 27005
 Gabarito Comentado
  2a Questão (Ref.: 201107295394)  Fórum de Dúvidas (0)       Saiba   (0)
Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da
informação, através de três fontes principais:
Análise de vulnerabilidades, requisitos legais e classificação da informação
Análise de risco, análise do impacto de negócio (BIA), classificação da informação
  Requisitos de negócio, Análise de risco, Requisitos legais
Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais
Classificação da informação, requisitos de negócio e análise de risco
  3a Questão (Ref.: 201107673550)  Fórum de Dúvidas (0)       Saiba   (0)
Uma organização governamental adotou as seguintes diretrizes em relação às cópias de segurança: 
Definição e formalização de uma política de cópias de segurança (backups) que inclua o código­fonte e a base
de dados com base nas necessidades de negócio, incluindo procedimentos regulares de recuperação e
observando as recomendações contidas no controle adequado da Norma NBR ISO/IEC 27002. 
Considerando a necessidade de proteger o sigilo das informações, deve­se avaliar a conveniência de
criptografar os dados gravados nas mídias das cópias de segurança, conforme recomenda a diretriz para
implementação do controle adequado da Norma NBR ISO/IEC 27002. 
Estas diretrizes se referem à seção da Norma que possui em uma de suas categorias, o controle Cópias de
Segurança. Qual é esta seção?
14 ­ Gestão da Continuidade do Negócio, que é a maior seção da Norma, e fornece diretrizes para a
segurança dos aplicativos, arquivos de sistema, processos de desenvolvimento e suporte e gestão de
vulnerabilidades técnicas.
11 ­ Controle de Acesso, que fornece diretrizes para áreas seguras da organização.
12 ­ Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação, que trata das medidas a
serem tomadas para prevenir a interrupção das atividades e proteger os processos críticos contra
defeitos, falhas ou desastres significativos da organização.
9 ­ Segurança Física e do Ambiente, que trata do controle do acesso lógico às informações da
04/05/2015 BDQ Prova
http://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cript_hist=425105800&p1=218933174175327360&pag_voltar=otacka 2/3
organização
  10 ­ Gerenciamento das Operações e Comunicações, que é a maior seção da Norma, e trata das
operações dos serviços tecnológicos da organização.
 Gabarito Comentado
  4a Questão (Ref.: 201107095992)  Fórum de Dúvidas (0)       Saiba   (0)
Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de
informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e
maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três
princípios básicos:
  Integridade, confidencialidade e disponibilidade
Autenticidade, originalidade e abrangência
Flexibilidade, agilidade e conformidade
Prevenção, proteção e reação
Integridade, prevenção e proteção
  5a Questão (Ref.: 201107109199)  Fórum de Dúvidas (0)       Saiba   (0)
Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral.
Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo
apresenta um conjunto típico destes documentos?
Manuais; Normas e Relatórios
Diretrizes; Manuais e Procedimentos
Manuais; Normas e Procedimentos
  Diretrizes; Normas e Procedimentos
Diretrizes; Normas e Relatórios
  6a Questão (Ref.: 201107109530)  Fórum de Dúvidas (0)       Saiba   (0)
A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e
interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo
referencia a que tipo de ação de Segurança:
  Controle de Acesso.
  Segurança Física e do Ambiente.
Gerenciamento das Operações e Comunicações.
Segurança dos Ativos.
Segurança em Recursos Humanos.
 Gabarito Comentado
04/05/2015 BDQ Prova
http://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cript_hist=425105800&p1=218933174175327360&pag_voltar=otacka 3/3
 Retornar
 
 
25/05/2015 BDQ Prova
http://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cript_hist=2793835750&p1=1368332338595796000&pag_voltar=otacka 1/3
   GESTÃO DE SEGURANÇA DA INFORMAÇÃO
 Retornar
Exercício: Matrícula:
Aluno(a): Data:05/2015 (Finalizada)
  1a Questão (Ref.: 201107315944)  Fórum de Dúvidas (0)       Saiba   (0)
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem
ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura
do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"?
Para o estabelecimento do programa de GCN é necessário entender a organização para definir a
priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias
para fornecê­los.
Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a
interrupções, a Gestão de continuidade de negócio deverá torna­se parte dos valores da organização,
através da sua inclusão na cultura da empresa.
  Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes,
continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados
durante e após um incidente , para manter ou restaurar as operações.
A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O
GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades
de melhorias possíveis.
Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a
organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade
de tempo aceitável durante e logo após uma interrupção.
 GabaritoComentado
  2a Questão (Ref.: 201107315942)  Fórum de Dúvidas (0)       Saiba   (0)
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem
ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura
do programa de GCN e o esforço gasto. Como podemos definir o elemento "Determinando a Estratégia"?
Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a
interrupções, a Gestão de continuidade de negócio deverá torna­se parte dos valores da organização,
através da sua inclusão na cultura da empresa.
  A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O
GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades
de melhorias possíveis.
Para o estabelecimento do programa de GCN é necessário entender a organização para definir a
priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias
para fornecê­los.
O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de
gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de
recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter
ou restaurar as operações.
  Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a
organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade
de tempo aceitável durante e logo após uma interrupção.
 Gabarito Comentado
25/05/2015 BDQ Prova
http://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cript_hist=2793835750&p1=1368332338595796000&pag_voltar=otacka 2/3
  3a Questão (Ref.: 201107295408)  Fórum de Dúvidas (0)       Saiba   (0)
Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as
organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o
perfeito dimensionamento das demais fases de elaboração do plano de continuidade ?
Classificação da informação
Auditoria interna
Análise de risco
Análise de vulnerabilidade
  Análise de impacto dos negócios (BIA)
 Gabarito Comentado
  4a Questão (Ref.: 201107619296)  Fórum de Dúvidas (0)       Saiba   (0)
De acordo com as normas NBR 15999 e ABNT NBR 15999­2, assinale a opção correta acerca da gestão de
continuidade do negócio (GCN).
  GCN é uma abordagem alternativa à gestão de riscos de segurança da informação.
A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de
interrupção das atividades críticas da organização.
A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a
incidentes, de continuidade e de comunicação.
GCN é a fase inicial da implantação da gestão de continuidade em uma organização.
  A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou)
atividades críticas e recursos de suporte de uma organização.
 Gabarito Comentado
  5a Questão (Ref.: 201107619304)  Fórum de Dúvidas (0)       Saiba   (0)
Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa
estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que
detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações.
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento:
Determinando a estratégia de continuidade de negócios.
Entendendo a organização.
Incluindo a GCN na cultura da organização.
Testando, mantendo e analisando criticamente os preparativos de GCN.
  Desenvolvendo e implementando uma resposta de GCN.
 Gabarito Comentado
  6a Questão (Ref.: 201107285122)  Fórum de Dúvidas (0)       Saiba   (0)
25/05/2015 BDQ Prova
http://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cript_hist=2793835750&p1=1368332338595796000&pag_voltar=otacka 3/3
BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no
Negócio que tem por finalidade apresentar todos os prováveis impactos de forma
............................e........................... dos principais processos de negócios mapeados e entendidos na
organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois,
norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios.
Natural e Desordenada
Clara e Intelegível
  Simples e Objetiva.
Estatística e Ordenada
  Qualitativa e Quantitativa
 Retornar
 
 
1ª Questão 
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três 
princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação 
única de requisitos de negócio e 
 A afirmação é verdadeira. A afirmação é somente verdadeira para as empresas privadas. A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. A afirmação é falsa. A afirmação é somente falsa para as empresas privadas.
 
2ª Questão 
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas 
revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a 
forma como a tecnologia da informa
trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão 
fundamental para as aplicações de tecnologia da informação nas empresas? Apoio ao uso da Internet e do ambient Apoio às Estratégias para vantagem competitiva Apoio à tomada de decisão empresarial Apoio às Operações Apoio aos Processos 
 
3ª Questão 
No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a 
justificativa de defender a liberdade de expressão. Seus integrantes lançaram ataques de 
negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As 
companhias sofreram represália por terem negado hospedagem, bloqueado recursos 
financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo vazamento de 
mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a 
vulnerabilidade neste ataque? Vulnerabilidade de Comunicação Vulnerabilidade Física Vulnerabilidade Mídia 
 Vulnerabilidade de Software Vulnerabilidade Natural 
 
 
4ª Questão 
As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, 
ladrões e etc. poderão ser classificadas como: Insconsequentes Destrutivas Tecnológicas Globalizadas Voluntárias 
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três 
princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação 
única de requisitos de negócio e de segurança¿, podemos dizer que: 
A afirmação é verdadeira. 
A afirmação é somente verdadeira para as empresas privadas. 
A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
A afirmação é falsa. 
somente falsa para as empresas privadas. 
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas 
revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a 
forma como a tecnologia da informação apóia as operações das empresas e as atividades de 
trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão 
fundamental para as aplicações de tecnologia da informação nas empresas? 
Apoioao uso da Internet e do ambiente wireless 
Apoio às Estratégias para vantagem competitiva 
Apoio à tomada de decisão empresarial 
 
 
No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a 
nder a liberdade de expressão. Seus integrantes lançaram ataques de 
negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As 
companhias sofreram represália por terem negado hospedagem, bloqueado recursos 
ado doações para o WikiLeaks, o serviço responsável pelo vazamento de 
mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a 
vulnerabilidade neste ataque? 
Vulnerabilidade de Comunicação 
Vulnerabilidade Física 
Mídia 
Vulnerabilidade de Software 
Vulnerabilidade Natural 
As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, 
ladrões e etc. poderão ser classificadas como: 
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três 
princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação 
A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas 
revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a 
ção apóia as operações das empresas e as atividades de 
trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão 
 
No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a 
nder a liberdade de expressão. Seus integrantes lançaram ataques de 
negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As 
companhias sofreram represália por terem negado hospedagem, bloqueado recursos 
ado doações para o WikiLeaks, o serviço responsável pelo vazamento de 
mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a 
As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, 
5ª Questão 
A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu 
através do envio de informações inconsistentes para um campo de entrada de dados da tela 
principal do sistema. Neste caso, foi utilizado um ataque de: Buffer Overflow Smurf Fraggle Fragmentação de pacotes IP SQL injection 
 
 
 
6ª Questão 
Qual das opções abaixo descreve melhor o conceito de "Risco" quando relacionado com a 
Segurança da Informação: Probabilidade de um incidente ocorrer mais vezes. Probabilidade de um ativo explorar uma vulnerabilidade Probabilidade de um ativo explorar uma ameaça. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade Probabilidade de uma ameaça explorar um incidente. 
 
 
7ª Questão 
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela 
norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem 
quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer 
organização: Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias 
internas Sistema de gestão de segurança da informação, classificação da informação, auditoria 
internas e análise de risco. Responsabilidade da direção, auditorias internas, controle de registros, sistema de 
gestão de segurança da informação. Sistema de gestão de segurança da informação, responsabilidade da direção, análise 
crítica do SGSI pela direção e Melhoria do SGSI Sistema de gestão de segurança da informação, análise de risco, auditorias internas e 
melhoria do SGSI 
 
 
 
8ª Questão 
Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado 
ponto de controle da rede de computadores de uma empresa sendo sua função a de regular o 
tráfego de dados entre essa rede e a internet e impedir a transmissão e/ou recepção de 
acessos nocivos ou não autorizados. 
 Adware. Mailing. 
 Firewall. Antivírus. Spyware. 
 
9ª Questão 
Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las 
quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a 
origem para as ameaças ? Interna e Oculta Secreta e Externa Conhecida e Externa Secreta e Oculta Interna e Externa 
 
10ª Questão 
O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja 
trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está 
relacionado com qual conceito? Ameaça. Impacto. Vulnerabilidade. Risco. Valor. 
 
 
11ª Questão 
Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho 
no ramo financeiro, onde a divulgação de determinadas informações pode causar danos 
financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e 
também possíveis perda de clientes. Neste caso você classificaria estas informações em qual 
nível de segurança? 
 Secreta. Interna. Pública. Irrestrito. Confidencial. 
 
12ª Questão 
 Qual opção abaixo representa a descrição do Passo “Levantamento das Informações”dentre 
aqueles que são realizados para um ataque de segurança ? A atacante tenta manter seu próprio domínio sobre o sistema O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar 
sua permanência. 
 O atacante procura coletar o maior número possível de informações sobre o "alvo 
em avaliação". O atacante explora a rede baseado nas informações obtidas na fase de 
reconhecimento O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema. 
 
13ª Questão 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na 
área de infra-estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de 
avisos sobre a existência de alarmes. Neste caso que tipo de barreira você está 
implementando? Detectar 
 Desencorajar Deter Discriminar Dificultar 
 
 
14ª Questão 
Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo 
falso? Secreto Fraco 
 Ativo Passivo Forte 
 
15ª Questão 
Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir 
que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os 
padrões e melhores práticas de segurança reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os 
padrões de segurança de empresas de maior porte reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo 
fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com 
os desejos de segurança dos funcionários e padrões comerciais. implementou um sistema para gerência da segurança da informação de acordo com os 
padrões nacionais das empresas de TI. 
 
16ª Questão 
Ao analisarmos a afirmativa: “Devemos levar em consideração que diferentes ameaças 
possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também 
impactos diferentes para uma mesma ameaça”. Podemos dizer que é: 
 falsa, pois os impactos são sempre iguais para ameaças diferentes. 
 verdadeira . falsa, pois não depende do ativo afetado. falsa, pois não devemos considerar que diferentes ameaças existem . parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma 
ameaça. 
 
17ª Questão 
A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das 
atividades do negócio e deve proteger os processos críticoscontra efeitos de falhas ou 
desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 
27002 está fazendo referência a que tipo de ação de Segurança: Controle de Acesso. Segurança Física e do Ambiente. Gerenciamento das Operações e Comunicações. Gestão de Incidentes de Segurança da Informação. Gestão da Continuidade do Negócio. 
 
18ª Questão 
Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar 
ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a 
probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são 
consideradas: Medidas Perceptivas Métodos Quantitativos Medidas Corretivas e Reativas 
 Medidas Preventivas Métodos Detectivos 
 
19ª Questão 
Como não existe uma única causa para o surgimento das vulnerabilidades, diferentes tipos de 
vulnerabilidade podem estar presente em diversos ambientes computacionais. Neste sentido 
qual das opções abaixo não representa um exemplo de tipo de vulnerabilidade? Mídia. Hardware. 
 Vírus. Natural. Humana. 
 
20ª Questão 
Um tipo de software especificamente projetado para apresentar propagandas, seja através de 
um browser, seja através de algum outro programa instalado em um computador pode ser 
descrito como sendo um: Active-x Java Script 
 Adware Spyware Worm 
 
21ª Questão 
Você é um consultor de segurança e trabalha em projetos de segurança da informação, que 
tem como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das 
opções abaixo não representa um exemplo de Ativo Intangível: Sistema de Informação. Marca de um Produto. Imagem da Empresa no Mercado. Qualidade do Serviço. Confiabilidade de um Banco. 
 
22ª Questão 
 Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da 
informação, de acordo com a ABNT NBR ISO/IEC 27005. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de 
avaliação de riscos Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a 
probabilidade de incidentes de segurança. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo 
previamente estabelecido. 
 O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior 
nível de risco. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de 
ameaças de origem humana. 
 
23ª Questão 
Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo 
atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes 
servidores indisponíveis pela sobrecarga ao invés da invasão? Source Routing Shrink wrap code 
 DDos SQL Injection Phishing Scan 
 
24ª Questão 
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a 
Segurança da Informação: Probabilidade de uma ameaça explorar um incidente. Probabilidade de um ativo explorar uma vulnerabilidade. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade Probabilidade de um ativo explorar uma ameaça. 
 Probabilidade de um incidente ocorrer mais vezes. 
 
25ª Questão 
No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada 
como um Problema de Segurança: Uma tempestade. Uma inundação. A perda de qualquer aspecto de segurança importante para a organização. 
 Restrição Financeira. Uma Operação Incorreta ou Erro do usuário. 
 
26ª Questão 
Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas 
organizações ? Manutenção, implementação do programa e maturação Planejamento, estudo e implementação do programa Planejamento, maturação e desenvolvimento Manutenção, desenvolvimento e implementação do programa Planejamento, desenvolvimento e implementação do programa 
 
27ª Questão 
Os ataques a computadores são ações praticadas por softwares projetados com intenções 
danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou 
invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou 
software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até 
mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a 
classificação das ameaças podemos definir como ameaças involuntárias: Ameaças propositais causadas por agentes humanos como crackers, invasores, 
espiões, ladrões e etc. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de 
criptografia nas comunicações. Erros propositais de instalação ou de configuração possibilitando acessos indevidos. Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, 
terremotos e etc. Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser 
ocasionados por falha no treinamento, acidentes, erros ou omissões. 
 
28ª Questão 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a 
utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções 
abaixo não se aplica ao conceito de "Informação"? Por si só não conduz a uma compreensão de determinado fato ou situação; Pode habilitar a empresa a alcançar seus objetivos estratégicos; Possui valor e deve ser protegida; É a matéria-prima para o processo administrativo da tomada de decisão; 
 É dado trabalhado, que permite ao executivo tomar decisões; 
 
29ª Questão 
Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de 
confidencialidade quanto pela de disponibilidade¿. Esta afirmação é: falsa, pois a informação não deve ser avaliada pela sua disponibilidade. verdadeira desde que seja considerada que todas as informações são publicas. falsa, pois não existe alteração de nível de segurança de informação. 
 verdadeira, pois a classificação da informação pode ser sempre reavaliada. verdadeira se considerarmos que o nível não deve ser mudado. 
 
30ª Questão 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da 
informação, de acordo com a ABNT NBR ISO/IEC 27005. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo 
previamente estabelecido. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a 
probabilidade de incidentes de segurança. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de 
ameaças de origem humana. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de 
avaliação de riscos O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior 
nível de risco. 
 
31ª Questão 
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter 
acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) 
para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? Ip Spoofing Port Scanning Fraggle Fragmentação de pacotes IP SYN Flooding 
 
32ª Questão 
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma 
barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica 
ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter": Esta barreira tem um sentido especial de representar a continuidade do processo de 
gestão de segurança da informação. 
 Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que 
suportam o negócio. Esta é a primeira das barreiras de segurança e cumpre o papelimportante de 
desencorajar as ameaças. 
 Esta barreira trata como importante se cercar de recursos que permitam identificar e 
gerir os acessos, definindo perfis e autorizando permissões. Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , 
alertem e instrumentem os gestores da segurança na detecção de situações de risco. 
 
 
33ª Questão 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de riscos, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos 
requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos 
atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos 
requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
34ª Questão 
 Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende 
implantar um servidor Internet para que os clientes possam acessar as informações oferecidas 
pela empresa à seus clientes. Em qual tipo de rede você localizaria este servidor considerando 
que você irá utilizar o conceito de perímetro de segurança? na Zona Desmilitarizada (DMZ) protegida na Zona Desmilitarizada (DMZ) suja ligado diretamente no roteador de borda na rede interna da organização em uma subrede interna protegida por um proxy 
 
35ª Questão 
Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e 
principalmente na forma como a tecnologia da informação tem apóiado as operações das 
empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de 
¿Informação¿ ? É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. É fundamental proteger o conhecimento gerado. Pode conter aspectos estratégicos para a Organização que o gerou. A informação é vital para o processo de tomada de decisão de qualquer corporação. Deve ser disponibilizada sempre que solicitada. 
 
36ª Questão 
Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho 
no ramo financeiro, onde a divulgação de determinadas informações pode causar danos 
financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e 
também possíveis perda de clientes. Neste caso você classificaria estas informações em qual 
nível de segurança? Pública. 
 Confidencial. Irrestrito. Secreta. Interna. 
 
37ª Questão 
Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. 
Nesse ataque os hackers direcionavam os usuários que acessavam o site do banco Bradesco 
para uma página falsa e roubavam os dados e as senhas destes usuários. O site teve um 
problema nos servidores de DNS, que traduziram o endereço do Bradesco como sendo de 
outro servidor, no qual havia uma página falsa e eles puderam roubar os dados e as senhas. 
Qual você acha que seria a vulnerabilidade neste ataque? Vulnerabilidade de Software Vulnerabilidade Natural Vulnerabilidade Mídia Vulnerabilidade de Comunicação Vulnerabilidade Física 
 
38ª Questão 
Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a 
Segurança da Informação: Tudo aquilo que tem origem para causar algum tipo de erro nos ativos Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. 
 Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos 
 
39ª Questão 
Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de 
segurança da informação, através de três fontes principais: Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais Classificação da informação, requisitos de negócio e análise de risco Análise de vulnerabilidades, requisitos legais e classificação da informação Análise de risco, análise do impacto de negócio (BIA), classificação da informação Requisitos de negócio, Análise de risco, Requisitos legais 
 
40ª Questão 
Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende 
implantar um servidor de banco de dados somente para consulta dos usuários internos da 
organização. Em qual tipo de rede você localizaria este servidor considerando que você irá 
utilizar o conceito de perímetro de segurança? ligado diretamente no roteador de borda 
 em uma subrede externa protegida por um proxy na Zona Demilitarizada (DMZ) protegida na Zona Demilitarizada (DMZ) suja na rede interna da organização 
 
41ª Questão 
Qual das opções abaixo não apresenta uma das quatro categorias conhecidas de Ataques? Aceitação de Serviço Disfarce Modificação de mensagem Negação de Serviço Repetição 
 
42ª Questão 
Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? Alteração ou destruição de arquivos; Monitoramento de URLs acessadas enquanto o usuário navega na Internet Captura de senhas bancárias e números de cartões de crédito; Captura de outras senhas usadas em sites de comércio eletrônico; Alteração da página inicial apresentada no browser do usuário; 
 
43ª Questão 
Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor 
de banco de dados com as informações dos clientes da organização. Pedro, o invasor, tenta 
esconder seus atos não autorizados com o objetivo de prolongar sua permanência de acesso. 
Entre outras coisas Pedro alterou os arquivos de Log. Neste caso, Pedro está em que passo da 
metodologia de um ataque? Levantamento das Informações Obtenção de Acesso 
 Camuflagem das Evidências Divulgação do Ataque Exploração das Informações 
 
44ª Questão 
A NBR ISO/IEC 27002 orienta que a organização assegurar que funcionários, fornecedores e 
terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma 
a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. Neste caso a NBR ISO/IEC 
27002 está fazendo referencia a que tipo de ação de Segurança: Gerenciamento das Operações e Comunicações. 
 Segurança em Recursos Humanos. Segurança Física e do Ambiente. Segurança dos Ativos. Controle de Acesso. 
 
 
44ª Questão 
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a 
Segurança da Informação: Probabilidade de uma ameaça explorar um incidente. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade Probabilidade de um incidente ocorrer mais vezes. Probabilidade de um ativo explorar uma ameaça. Probabilidade de um ativo explorar uma vulnerabilidade. 
 
45ª Questão 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas 
ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, 
resultados de auditorias, da análise dos eventos monitorados e através de ações: Prevenção e Preventivas. 
 Corretivas e Preventivas. Corrigidas e Preventivas. Corretivas e Corrigidas. Corretivas e Correção. 
 
46ª Questão 
Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que 
possam impactar no estudo e implementação de um processo de gestão de segurança em uma 
organização? Ameaça. 
 insegurança Risco. Vulnerabilidade. Impacto . 
 
47ª Questão 
João configurou nas máquinas servidoras da empresa que trabalha o serviço de Log de forma a 
registrar as operações realizadaspelos usuários e serviços do sistema. Neste caso, João está 
implementando uma propriedade de segurança relacionada à(o): Não-Repúdio; Integridade; Disponibilidade; Confidencialidade; Auditoria; 
 
48ª Questão 
Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também 
muitos desafios de negócios e gerenciais no desenvolvimento e implementação de 
novos usos da tecnologia da informação em uma empresa. Neste contexto 
qual o objetivo fundamental da ¿Segurança da Informação¿? 
 Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informaçõ
es. Visa à proteção dos equipamentos de uma empresa que contêm informações. Visam à proteção alguns poucos ativos de uma empresa que contêm informações. 
 Visa à proteção de todos os ativos de uma empresa que contêm informações. Visa principalmente à proteção dos ativos patrimoniais que contêm informações. 
 
48ª Questão 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste caso houve uma falha na segurança da informação relacionada à: Integridade; Autenticidade; Auditoria; Não-Repúdio; Confidencialidade; 49ª Questão 
O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? Problema Vulnerabilidade Risco Dependência Ameaça 
50ª Questão 
Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. F
aça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 
1. Spyware 
2. Adware 
3. Engenharia Social 
 4. Backdoor 
5. Phishing Coluna II 
 
( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma pág
ina clonada ou a um arquivo malicioso. 
( ) Software que insere propagandas em outros programas. 
( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. 
( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. 
( ) Programa espião. 
A sequencia correta é: 5, 2, 4, 3, 1. 3, 2, 4, 5, 1. 3, 1, 4, 5, 2. 
 3, 1, 5, 2, 4. 5,1,4,3,2. 
 
51ª Questão 
Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qu
al das opções abaixo Não representa um destes tipos de ataques? Ataque aos Sistemas Operacionais Ataque para Obtenção de Informações Ataque à Aplicação Ataque de Configuração mal feita Ataques Genéricos 
 
52ª Questão 
Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra u
m determinado risco está muito além das possibilidades da organização e 
portanto não vale a pena tratá-lo. Neste caso você: Aceita o risco Trata o risco a qualquer custo Comunica o risco Ignora o risco Rejeita o risco 
 
53ª Questão 
A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das ati
vidades do negócio e deve proteger os processos críticos contra efeitos de falhas ou 
desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a 
 NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança? Gerenciamento das Operações e Comunicações Controle de Acesso 
 Gestão da Continuidade do Negócio Gestão de Incidentes de Segurança da Informação Segurança Física e do Ambiente. 
 
54ª Questão 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigató
rios e que podem ser implementados em todos os tipos de organizações de diferentes 
tamanhos e setores. Cada organização ao 
implementar a gestão da continuidade de negócios deverá adaptar as suas 
 necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como 
podemos definir o elemento "Entendendo a Organização"? Para que às partes interessadas tenham confiança quanto à capacidade da organização
 de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se 
parte dos valores da organização, através da sua inclusão na cultura da empresa. Para o estabelecimento do programa de GCN é necessário entender a organização par
a definir a priorização dos produtos e serviços da organização e a urgência das 
atividades que são necessárias para fornecê-los. O desenvolvimento e implementação de uma resposta de GCN resulta na criação de u
ma estrutura de gestão e uma estrutura de gerenciamento de incidentes, 
 continuidade de negócios e planos de recuperação que irão detalhar os passos a 
serem tomados durante e após um incidente , para manter ou restaurar as operações. A organização precisa verificar se suas estratégicas e planos estão completos, atualizad
os e precisos. O GCN deverá ser testado, mantido, analisado criticamente, 
auditado e ainda identificada as oportunidades de melhorias possíveis. A determinação da estratégia de continuidade de negócio permite que uma resposta a
propriada seja escolhida para cada produto ou serviço, de modo que a organização 
possa continuar fornecendo seus produtos e serviços em um nível operacional e 
quantidade de tempo aceitável durante e logo após uma interrupção. 
 
 
55ª Questão 
Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 
3 (três) aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança 
da Informação". Quais elementos compõem a tríade da segurança da informação? Privacidade, Governabilidade e Confidencialidade 
 Confiabilidade, Integridade e Disponibilidade Autenticidade, Legalidade e Privacidade Disponibilidade, Privacidade e Segurabilidade Integridade, Legalidade e Confiabilidade 
 
 
56ª Questão 
Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e 
principalmente na forma como a tecnologia da informação tem apóiado as operações das 
empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de 
¿Informação¿ ? 
 É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. É fundamental proteger o conhecimento gerado. A informação é vital para o processo de tomada de decisão de qualquer corporação. Pode conter aspectos estratégicos para a Organização que o gerou. Deve ser disponibilizada sempre que solicitada. 
 
57ª Questão 
A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se 
tornado um elemento fundamental para: A gestão da área comercial. A gestão de orçamento. A gestão do ciclo da informação interna. A gestão dos usuários. A gestão dos negócios da organização 
58ª Questão 
Considere um sistema no qual existe um conjunto de informações disponível para um 
determinado grupo de usuários denominados ¿auditores¿. Após várias consultas com 
respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao 
grupo ¿auditores¿ acessa o sistema em busca de uma informação já acessada anteriormente e 
não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para 
este sistema na propriedade relacionada à: Privacidade; Integridade; 
 Disponibilidade; Não-repúdio; Confidencialidade; 
 
59ª Questão 
 
Observe a figura acima e complete corretamente a legenda dos desenhos: 
 Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e 
produtos Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios Agentesameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e 
produtos 
 
60ª Questão 
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente 
articulado pelas redes, onde a informação, independente do seu formato. Uma vez 
identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar 
um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de 
segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as 
informações devam estar guardadas de forma segura. Neste contexto como podemos definir o 
que são vulnerabilidades: Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da 
ingenuidade ou confiança do usuário, para obter informações que podem ser 
utilizadas para ter acesso não autorizado a computadores ou informações. É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases 
de dados através da utilização de SQL. 
 São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, 
terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, 
ladrões, criadores e disseminadores de vírus de computadores, incendiários. Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos 
internos. Permitem o aparecimento de ameaças potenciais à continuidade dos 
negócios das organizações. 
 
61ª Questão 
Os ataques a computadores são ações praticadas por softwares projetados com intenções 
danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou 
invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou 
software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até 
mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a 
classificação das ameaças podemos definir como ameaças involuntárias: Erros propositais de instalação ou de configuração possibilitando acessos indevidos. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de 
criptografia nas comunicações. 
 Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem 
ser ocasionados por falha no treinamento, acidentes, erros ou omissões. Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, 
enchentes, terremotos e etc. Ameaças propositais causadas por agentes humanos como crackers, invasores, 
espiões, ladrões e etc. 
 
62ª Questão 
Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que 
ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre 
outros, e, geralmente, começa com uma mensagem de e-mail semelhante a um aviso oficial de 
uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de 
comércio eletrônico. Exploits. Hijackers. 
 Phishing. Trojans. Wabbit. 
 
63ª Questão 
Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? 
 Passivo Ativo Fraco Secreto Forte 
 
64ª Questão 
João e Pedro são administrador de sistemas de uma importante empresa e estão instalando 
uma nova versão do sistema operacional Windows para máquinas servidoras. Durante a 
instalação Pedro percebeu que existem uma 
série de exemplos de códigos já prontos para serem executados, facilitando assim o trabalho 
de administração do sistema. Qual o tipo de ataque que pode acontecer nesta situação? Phishing Scan Fraggle Dumpster Diving ou Trashing 
 Shrink Wrap Code Smurf 
 
65ª Questão 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opçõ
es abaixo nãopode ser considerada como sendo um dos "Propósitos da Informação" 
dentro das empresas e organizações? Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiro
s; Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; 
 
66ª Questão 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de v
alor . Qual das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao 
seguinte conceito: "Surge no caso de informação secreta ou de interesse comercial, 
quando o uso fica restrito a apenas algumas pessoas"? Valor de restrição. Valor de troca. Valor de uso. Valor de propriedade. Valor de negócio. 
 
67ª Questão 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que 
 muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos 
remotamente, burlar particularidades de cada sistema, ataques de 
 Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação 
das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware: Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, fa
lta de energia). Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de f
abricação. 
 Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planeja
das. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a 
instalação. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de cripto
grafia nas comunicações. 
 
68ª Questão 
As ameaças são agentes ou condições que causam incidentes que comprometem as informaçõ
es e seus ativos 
por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis cla
ssificações das ameaças quanto a sua intencionalidade? Ocasionais, Involuntárias e Obrigatórias. Naturais, Involuntárias e Obrigatórias. Naturais, Voluntarias e Obrigatórias. 
 Naturais, Involuntárias e Voluntarias. Naturais, Voluntarias e Vulneráveis. 
 
 
69ª Questão 
Qual o nome do ataque que tem o intuito de enviar uma quantidade em "massa" de e-mails m
uitas das vezes indesejáveis ? Spyware Backdoor Rootkit 
 Spam Adware 
 
70ª Questão 
Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo 
de gestão de incidentes sequencialmente ? Incidente, impacto, ameaça e recuperação 
 Ameaça, incidente, impacto e recuperação Incidente, recuperação, impacto e ameaça Impacto, ameaça, incidente e recuperação Ameaça, impacto, incidente e recuperação 
 
71ª Questão 
A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informaçã
o, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, 
implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. 
 Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos 
 definir como Requisitos do Negócio: Determina que a organização deve prevenir o acesso físico não autorizado, danos e int
erferências com as instalações e informações da organização. 
 São a Legislação vigente,
nização, seus 
parceiros comerciais, É o conjunto de princípios
rganização tem que desenvolver Uma orientação de como
egurança da informação. A orientação da organização
 entendam suas responsabilidades
 reduzir o risco de furto
 
72ª Questão 
De acordo com as normas NBR
gestão de continuidade do negócio GCN é uma abordagem A análise de impacto 
, serviços e(ou) atividades A implementação da 
de resposta a incidentes, GCN é a fase inicialda A definição da estratégia
eráveis de interrupção
 
 
 
 
 
 
vigente, estatutos, regulamentação e cláusulas contratuais
comerciais, contratados e provedores de serviço tem que atender. 
princípios e objetivos para o processamento da informação
desenvolver para apoiar suas operações. 
como a organização deve proceder para estabelecer
da informação. 
organização para assegurar que funcionários, fornecedores
suas responsabilidades e estejam de acordo com os seus papéis
furto ou roubo, fraude ou mau uso dos recursos. 
NBR 15999 e ABNT NBR 15999-2, assinale a opção correta
negócio (GCN). 
abordagem alternativa à gestão de riscos de segurança da
 no negócio resulta em melhor entendimento acerca
e(ou) atividades críticas e recursos de suporte de uma organização. 
 resposta de GCN compreende a realização dos testes
a incidentes, de continuidade e de comunicação. 
da implantação da gestão de continuidade em uma
estratégia de continuidade determina o valor dos períodos
de interrupção das atividades críticas da organização. 
--------fim------- 
contratuais que a orga
atender. 
informação que uma o
estabelecer a política de s
fornecedores e terceiros
papéis de forma a 
correta acerca da 
da informação. 
acerca dos produtos
organização. 
testes dos planos 
uma organização. 
períodos máximos tol
 3,5 1,5
 
1a Questão 0,0 0,5
 
2a Questão 0,0 0,5
 
3a Questão 0,5 0,5
 
4a Questão 0,0 0,5
 
5a Questão 0,0 0,5
 
6a Questão 0,5 1,5
 
7a Questão 1,0 1,5
 
8a Questão 0,5 0,5
 
9a Questão 0,0 1,0
 
10a Questão 1,0 1,0
 
 6,0 1,5 05/12/2014 16:18:31
 
1a Questão 0,5 0,5
 
2a Questão 0,5 0,5
 
3a Questão 0,5 0,5
 
4a Questão 0,5 0,5
 
5a Questão 0,5 0,5
 
6a Questão 0,0 0,5
 
7a Questão 1,0 1,5
 
8a Questão 1,5 1,5
 
9a Questão 0,0 1,0
 
10a Questão 1,0 1,0
 
08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22685%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%22%… 1/3
   Fechar
Avaliação: CCT0059_AV2_201308092601 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV2
Aluno: 201308092601 ­ LUCIANO DA SILVA PIRES DE ALMEIDA
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9004/D
Nota da Prova: 4,5 de 8,0         Nota do Trab.: 0        Nota de Partic.: 2        Data: 13/06/2015 11:06:33
  1a Questão (Ref.: 201308163939) Pontos: 0,5  / 0,5
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de
operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia
as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode
ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas?
Apoio às Estratégias para vantagem competitiva
Apoio à tomada de decisão empresarial
  Apoio ao uso da Internet e do ambiente wireless
Apoio às Operações
Apoio aos Processos
  2a Questão (Ref.: 201308164021) Pontos: 0,0  / 0,5
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das
opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao seguinte conceito: "Surge no
caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas"?
Valor de uso.
Valor de troca.
Valor de negócio.
  Valor de restrição.
  Valor de propriedade.
  3a Questão (Ref.: 201308234841) Pontos: 0,5  / 0,5
Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque
DDoS e foi descrito como o maior já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕES
de blogs, incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre
eles, estão inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcançou vários
Gigabits por segundo e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers
do Wordpress, a investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog.
Qual você acha que foi a vulnerabilidade para este ataque?
Vulnerabilidade Mídias
Vulnerabilidade Comunicação
Vulnerabilidade Física
Vulnerabilidade Natural
  Vulnerabilidade Software
08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22685%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%22%… 2/3
  4a Questão (Ref.: 201308160764) Pontos: 0,5  / 0,5
Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi
projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá
ser melhor descrito como sendo um:
worm
exploit
vírus
  cavalo de tróia (trojan horse)
active­x
  5a Questão (Ref.: 201308160807) Pontos: 0,0  / 0,5
Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço
específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em
cada computador ?
  Ataque aos Sistemas Operacionais
  Ataque para Obtenção de Informações
Ataques de códigos pré­fabricados
Ataque de Configuração mal feita
Ataque á Aplicação
  6a Questão (Ref.: 201308693440) Pontos: 0,0  / 0,5
Vamos analisar cada item. E marque a alternativa correta.
  O FTP (file transfer protocol) é o protocolo para transferência de arquivos do conjunto TCP/IP. Não é o
único capaz de transferir arquivos, mas este é especializado e possui vários comandos para navegação e
transferência de arquivos;
O HTTP (hipertexto transfer protocol)? a ? é o protocolo utilizado pela WEB;
O driver do HD possibilita a comunicação entre o HD e o computador/sistema operacional;
RSS (Really Simple Syndication) é uma forma de Feed que possibilita ao usuário receber dados de
diversas fontes, reunindo­os em único local;
  O antivírus é uma ferramenta que auxilia no combate às pragas eletrônicas
  7a Questão (Ref.: 201308241480) Pontos: 1,0  / 1,5
Dado o caráter abstrato e intangível da informação, seu valor está associado a um contexto. A informação terá
valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva,
caso contrário poderá ter pouco ou nenhum valor. Neste sentido descreva o ciclo de vida da informação,
identificando os momentos vividos pela informação.
Resposta: Criação da informação ­ momento que a informação é gerada. Manuseio da informação ­ momento
que os usuário utilizam a informação para agregar valor a empresa a a um produto. Descarte da informação ­
momento que a informação é eliminada para não cair em mão de pessoas não autorizadas.
Gabarito: Manuseio: Momento em que a informação é criada e manipulada. Armazenamento: Momento em que
a informação é armazenada. Transporte: Momento em que a informação é transportada. Descarte: Momento
em que a informação é descartada.
08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22685%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%22%… 3/3
  8a Questão (Ref.: 201308347051) Pontos: 0,0  / 1,0
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são
genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios
de implementação da norma ISO/IEC 27001 em qualquer organização:
  Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança
da informação.
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditoriasinternas
  Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI
pela direção e Melhoria do SGSI
Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise
de risco.
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI
  9a Questão (Ref.: 201308253103) Pontos: 1,0  / 1,5
Uma vez definido nosso foco de atuação, os profissionais de seguranças têm à sua disposição diversas
estratégias de proteção, sendo algumas mais úteis em determinadas situações que outras, mas, no geral, elas
podem estar presentes no ambiente como um todo, se sobrepondo e se complementando. Dito isso defina com
suas palavras o que é uma VPN (Virtual Private Networks):
Resposta: VPN é uma rede virtual que possibilita o profissional de uma determinada empresa possa trabalhar
remotamente como se estivesse dentro da rede da própria empresa.
Gabarito: ­ Interligam várias Intranets através da Internet ­ Usam o conceito de tunelamento: Dados são
criptografados e autenticados Usa conexões TCP comuns Túneis podem ser pré­estabelecidos ­ Permitem
acessos remotos com segurança
  10a Questão (Ref.: 201308670954) Pontos: 1,0  / 1,0
O Plano de Continuidade do Negócio......
define uma ação de continuidade imediata e temporária.
  prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco.
precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de
alguém como os processos organizacionais.
não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em
riscos aos ativos de informação.
deve ser elaborado com base em premissas departamentais particulares do que é considerado
importante ou não.
08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22685%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%22%… 1/3
   Fechar
Avaliação: CCT0059_AV3_201308092601 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV3
Aluno: 201308092601 ­ LUCIANO DA SILVA PIRES DE ALMEIDA
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9004/D
Nota da Prova: 8,0 de 10,0         Nota do Trab.: 0        Nota de Partic.: 0        Data: 04/07/2015 09:13:10
  1a Questão (Ref.: 201308163989) Pontos: 1,0  / 1,0
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das
opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para
as organizações quando tratamos de Segurança da Informação?
Valor de restrição.
Valor de propriedade.
Valor de uso.
Valor de troca.
  Valor de orçamento.
  2a Questão (Ref.: 201308335657) Pontos: 1,0  / 1,0
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de
usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um
determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma
informação já acessada anteriormente e não consegue mais acessá­la. Neste caso houve uma falha na
segurança da informação para este sistema na propriedade relacionada à:
  Disponibilidade
Confidencialidade
Integridade
Auditoria
Privacidade
  3a Questão (Ref.: 201308330392) Pontos: 1,0  / 1,0
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode
dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades
de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a
Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware:
Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas
comunicações.
  Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22685%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%22%… 2/3
  4a Questão (Ref.: 201308160835) Pontos: 1,0  / 1,0
Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o
grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua
capacidade de gerar efeitos adversos na organização são consideradas:
Métodos Quantitativos
Métodos Detectivos
  Medidas Preventivas
Medidas Corretivas e Reativas
Medidas Perceptivas
  5a Questão (Ref.: 201308160812) Pontos: 0,0  / 1,0
Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente segue para
realizar um Ataque de Segurança :
  Levantamento, Exploração, Obtenção, Manutenção e Camuflagem
Exploração, Levantamento, Obtenção, Manutenção e Camuflagem
  Levantamento, Obtenção, Exploração, Manutenção e Camuflagem
Obtenção, Levantamento, Exploração, Manutenção e Camuflagem
Obtenção, Exploração, Levantamento, Manutenção e Camuflagem
  6a Questão (Ref.: 201308693430) Pontos: 1,0  / 1,0
Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de
incidentes sequencialmente ?
  Ameaça, incidente, impacto e recuperação
Incidente, impacto, ameaça e recuperação
Ameaça, impacto, incidente e recuperação
Impacto, ameaça, incidente e recuperação
Incidente, recuperação, impacto e ameaça
  7a Questão (Ref.: 201308725243) Pontos: 1,0  / 1,0
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve
ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as
organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados
necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os
riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente
definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se
necessário. 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:
08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22685%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%22%… 3/3
III e IV.
II.
I e II.
  II e III.
I e III.
  8a Questão (Ref.: 201308678521) Pontos: 1,0  / 1,0
Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da
informação?
Segregação de funções.
Procedimentos elaborados.
Auditoria.
Suporte técnico.
  Conscientização dos usuários.
  9a Questão (Ref.: 201308241514) Pontos: 0,0  / 1,0
Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um
servidor de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de rede
você localizaria este servidor considerando que você