Gestão da Segurança da Informação Resumo AVs

Prévia do material em texto

1- A ausência de mecanismo de proteção ou a falha em um mecanismo de proteção
existente chamamos de:
Vulnerabilidade
2- O conceito de segurança é estar livre de perigos e incertezas. É correto afirmar que
segurança da informação visa a ..
Proteção de ativos que contêm informações.
3- Quais são as três características consideradas os pilares da segurança da informação?
Confidencialidade, integridade e disponibilidade.
4- Qual é o conceito de "ativo de informação”?
São aqueles que produzem, processam, transmitem ou armazenam informações.
5- Quais as etapas do ciclo de vida da informação?
Manuseio, Armazenamento, Transporte e descarte;
6- O processo que consiste em identificar quais são os níveis de proteção que as
informações demandam e estabelecer classes e formas de identificá-las, além de
determinar os controles de proteção a cada uma delas. Estamos nos referindo ao conceito
de:
Classificação da informação;
7- Quais são os quatro aspectos importantes que norteiam as ações de segurança em
uma informação?
Confidencialidade, valor, integridade e disponibilidade;
8- O que a análise de vulnerabilidade envolve?
Pessoas, processos, tecnologia e ambiente;
9- São tipos de vulnerabilidades:
humana, hardware, software, natural;
10- As vulnerabilidades por si só não provocam incidentes, pois são elementos passivos,
necessitando para tanto de _________________ou uma condição favorável que são
__________________.
um agente causador, as ameaças;
11- Programa ou parte de um programa de computador que se propaga infectando, isto é,
inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um
computador.
Vírus
12- Quais os princípios básicos de segurança que as ameaças normalmente afetam?
disponibilidade, integridade, confidencialidade;
13- Como podemos conceituar um cavalo-de-tróia?
Programa que parece útil mas tem código destrutivo embutido;
14- Quais as etapas, em ordem cronológica, de um planejamento de ataque?
Levantamento das informações, Exploração das informações (scanning), Obtenção do
acesso, Manutenção do acesso, Camuflagem das evidências;
15- O que é o ataque denominado DdoS?
tenta tornar os recursos de um sistema indisponíveis para seus utilizadores,
porém de forma distribuída.
16- O que é o ataque denominado engenharia social?
Consistem em utilizar a persuasão, para obter informações que podem ser utilizadas para
ter acesso não autorizado a computadores ou informações.
17- A empresa ABC está desenvolvendo um política de segurança da Informação e uma
de suas maiores preocupações é com as informações críticas e sigilosas da empresa.
Como estas informações impressas em papel serão descartadas. Qual o tipo de ataque
está preocupando a empresa ABC?
Dumpster diving ou trashing
18- Baseado no conceito de que as proteções são medidas que visam livrar os ativos de
situações que possam trazer prejuízo e que podemos classificá-las de acordo com a sua
ação e o momento em que ocorre, qual das opções abaixo não corresponde à
classificação das proteções de acordo com a sua ação e o momento na qual ela ocorre?
Destrutivas.
19- Para auxiliar no processo de classificação das informações das organizações,
podemos utilizar que ferramenta?
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade,
a Integridade e a Disponibilidade das Informações.
20- O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas,
que a concretização de uma determinada ameaça causará está relacionado com qual
conceito de?
Impacto.
21- Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e
principalmente na forma como a tecnologia da informação tem apóiado as operações das
empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de
Informação ?
Deve ser disponibilizada sempre que solicitada.
22- Um fator importante em um processo de classificação da informação é o nível de
ameaça conhecido que cada informação tem. Quando uma informação é classificada
como pública, podendo ser utilizada por todos sem causar danos à organização, podemos
afirmar que ela possui qual nível de segurança?
Irrestrito.
23- Em uma organização existem diversos tipos de ativos que podem ser organizados e
classificados através de diversas propriedades. Qual das opções abaixo descreve o
conceito de Ativos para a Segurança da Informação:
Tudo aquilo que tem valor para a organização
24- Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a
ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema
que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado
um ataque de
SQL Injection
25- Analise a afirmativa: O nível de segurança pode ser aumentado tanto pela
necessidade de confidencialidade quanto pela de disponibilidade. Esta afirmação é:
verdadeira, pois a classificação da informação pode ser sempre reavaliada.
26- O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas
revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a
forma como a tecnologia da informação apóia as operações das empresas e as atividades
de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como
razão fundamental para as aplicações de tecnologia da informação nas empresas?
Apoio ao uso da Internet e do ambiente wireless
27- Qual das opções abaixo descreve um tipo de ataque onde é possível obter
informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do
sistema e os serviços que estão sendo executados em cada computador ?
Ataque para Obtenção de Informações
28- Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais
e que possam impactar no estudo e implementação de um processo de gestão de
segurança em uma organização?
 .
insegurança /intensidade
29- O Evento que tem potencial em si próprio para comprometer os objetivos da
organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de
situações inesperadas está relacionado com qual conceito?
.
Ameaça.
30- Um hacker está planejando um ataque a uma importante empresa de E-commerce.
Desta forma será necessário levantar quais os serviços de rede estão disponíveis na rede
da empresa. Para alcançar o seu objetivo o invasor tentará levantar estas informações
através da escuta das portas do protocolo TCP e UDP. Neste caso estamos nos referindo
a um ataque do tipo:
Port Scanning
31- Como qualquer bem ou recurso organizacional, a informação também possui seu
conceito de valor . Qual das opções abaixo não representa um dos possíveis conceitos
fundamentais do valor atribuído às informações para as organizações quando tratamos de
Segurança da Informação?
Valor de orçamento.
32- O que é analise de risco?
Pessoas, processos, tecnologia e ambiente;
33- Os riscos não podem ser completamente eliminados e a porção do risco existente
após todas as medidas de tratamento terem sido tomadas, chama-se?
Risco residual
34- A gestão de riscos contempla uma série de atividades relacionadas à forma como uma
organização lida com o risco. Baseado no ciclo de vida da gestão de risco, quais são as
quatros atividades principais:
Avaliação do Risco, Tratamento do Risco, Aceitação do Risco, Comunicação do Risco;
35- Sobre a Norma ISO/IEC 27001 podemos afirma que:
Apresenta os requisitos para a implementação de um Sistema de Gestão de Segurança
da Informação;
36- Sobre a Norma ISO/IEC 27005 podemos afirma que:
Tem como objetivo tratar a gestão de risco da informação;
37- Sobre a Norma ISO/IEC 27002 podemos afirma que:
É um código demelhores práticas de segurança da informação
38- Sobre a Norma ISO/IEC 27001 podemos afirma que:
Apresenta os requisitos para a implementação de um Sistema de Gestão de Segurança
da Informação;
39- O que é a declaração de aplicabilidade?
A relação de quais controles são aplicáveis e as justificativas dos que não são aplicáveis
ao seu SGSI;
40- Para estabelecer um Sistema de Gestão de Segurança da Informação (SGSI)
documentado e dentro do contexto das atividades de negócio da organização e dos riscos
que ela enfrenta, a norma ISO/IEC 27001 utiliza uma abordagem:
de processo;
41- Quais os processos que compões o ciclo de vida da continuidade de negócio?
Gestão do programa de GCN, Determinando a estratégia de continuidade de negócios,
Desenvolvendo e implementando uma resposta de GCN, Testando, mantendo e
analisando criticamente os preparativos de GCN, Incluindo a GCN na cultura da
organização;
42- No contexto da continuidade de negócio qual o conceito de desastre:
Eventos de grande magnitude em termos de prejuízo, porém com probabilidade muito
baixa de ocorrência;
43- O que contem um Plano de resposta a incidentes?
As tarefas e ações para administrar as consequências imediatas de uma interrupção de
negócios;
44- O que caracteriza o algoritmo de criptografia de chave assimétrica?
A utilização de duas chaves diferentes, uma em cada extremidade do processo de
comunicação;
45- Qual o conceito de zona demilitarizada (DMZ)?
pequenas redes que geralmente contém serviços públicos que são conectados
diretamente ao firewall ou a outro dispositivo de filtragem;
46- Qual a função de um firewall?
Isola a rede interna da organização da área pública da Internet, permitindo que
alguns pacotes passem e outros não;
47- Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site
posteriormente ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês,
o governo vivenciará o maior número de ataques de natureza virtual na sua história feito
pelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias
instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso
no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o
portal é mais informativo, não comprometendo aos dados internos e criticos que não
devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque?
Vulnerabilidade Software
48- Analise a frase abaixo: Capacidade de uma organização de resistir aos efeitos de um
incidente. Assinale qual das opções representa o conceito correto da frase acima:
Resiliência
49- Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se
concretizem podemos dizer que:
A afirmativa é verdadeira.
50- Maria trabalha como engenheira química de uma importante empresa do ramo
farmaceútico em um projeto inédito e que irá permitir a sua empresa obter um diferencial
competitivo em relação aos concorrentes. As informações com que Maria trabalha deve
ser classificada como interna e restrita a um grupo seleto dentro da organização, devendo
a sua integridade ser preservada a qualquer custo e o acesso bastante limitado e seguro,
sendo vital para a companhia. Em qual nível de segurança a informação deve ser
classificada?
Confidencial
51- Segundo a RFC 2828 os ataques podem ser definidos como ¿um ataque à segurança
do sistema, derivado de uma ameaça inteligente, ou seja, um ato inteligente que é uma
tentativa deliberada de burlar os serviços de segurança e violar a política de segurança de
um sistema. Os ataques ser classificados como:
Passivo e Ativo
52- Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado
com a Segurança da Informação:
Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos
53- A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à
informação, aos recursos de processamento de dados e aos processos de negócios com
base nos requisitos de negócio e na segurança da informação levando em consideração
as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC
27002 está fazendo referencia a que tipo de ação de Segurança?
Controle de Acesso
54- Você está trabalhando em um projeto de implantação da continuidade de negócios em
sua organização. Você está na fase do projeto que é a análise de impacto nos negócios.
Analise a opção que melhor retrata as ações que você deve realizar:
Levantar o grau de relevância dos processos ou atividades que compõe a entrega de
produtos e serviços fundamentais para a organização.
55- Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa
proteger os ativos de informação de diversos tipos de ameaças para garantir a
continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos.
Para isso a segurança da informação pode ser caracterizada por três princípios básicos:
Integridade, confidencialidade e disponibilidade
56- Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções
abaixo está INC ORRETA :
A Chave Publica não pode ser divulgada livremente, somente a Chave Privada
57- Maio/2011 - A Sony sofre invasão de hackers com o vazamento de informações de
mais de 100 milhões de usuários da rede online de games PlayStation Network. O ataque
à base de dados de clientes se realizou desde um servidor de aplicações conectado com
ela, e que está depois de um servidor site e dois firewalls. Segundo a companhia, os
hackers encobriram o ataque como uma compra na plataforma online de Sony e depois
de passar do servidor site, O ataque, que foi considerado um dos maiores, no sentido do
vazamento de dados confidenciais, da história obrigou a Sony a reconstruir grande parte
da sua rede, causado um prejuízo de 171 milhões de Dólares. A rede também ficou fora
do ar por 28 dias, sendo que alguns serviços menos essenciais foram reestabelecidos
primeiro e regionalmente antes do reestabelecimento total de todos os serviços. . Qual
você acha que foi a vulnerabilidade para este ataque?
Vulnerabilidade de Software
58- Ao analisarmos a afirmativa: Devemos levar em consideração que diferentes ameaças
possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também
impactos diferentes para uma mesma ameaça. Podemos dizer que é:
verdadeira
59- Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um
arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por
Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria
iniciou a transmissão. Neste estava houve uma falha na segurança da informação
relacionada à:
Integridade;
60- Qual das opções abaixo representa o tipo de ação quando observamos que o custo
de proteção contra um determinado risco não vale a pena ser aplicado:
Aceitação do Risco
61- Marcelo é analista de suporte da empresa X e está responsável pela instalação dos
equipamentos de rede. Durante a instalação do novo roteador, Marcelo não percebeu que
ocorreram vários erros na instalação do equipamento. Neste caso ocorreu um exemplo de
vulnerabilidade :
De hardware;
62- Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de
um fluxo falso?
Ativo
63- Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os
riscos na área de Banco de Dados, pretende implementar recursos que permitam
identificar e gerir os acessos, definindo perfis e autorizando permissões. Neste caso que
tipo de barreira você está implementando?
Discriminar
64- A demanda gradual por armazenamento de conhecimento tem levado à necessidade
de administraçãodesses dados de forma confiável. Qual das opções abaixo representa
melhor a seqüencia na evolução do tratamento dos Dados para a sua utilização eficaz nas
organizações?
Dado - Informação - Conhecimento
65- Considere um sistema no qual existe um conjunto de informações disponível para um
determinado grupo de usuários denominados “auditores”. Um usuário de um outro grupo,
o grupo “estudante”, tenta acessar o sistema em busca de uma informação que somente
o grupo “auditores” tem acesso e consegue. Neste caso houve uma falha na segurança
da informação para este sistema na propriedade relacionada à:
Confidencialidade;
66- Qual das opções abaixo descreve melhor conceito de “Risco” quando relacionado
com a Segurança da Informação:
Probabilidade de uma ameaça explorar uma vulnerabilidade.
67- Qual das opções abaixo descreve um tipo de ataque que normalmente tem como
objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas
nestes servidores indisponíveis pela sobrecarga ao invés da invasão?
DDos
68- A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque
ocorreu através do envio de informações inconsistentes para um campo de entrada de
dados da tela principal do sistema. Neste caso, foi utilizado um ataque de:
Buffer Overflow
69- Porque as organizações devem realizar auditorias internas do SGSI em intervalos
regulares?
Para determinar se os objetivos de controle, processos e procedimentos atendem aos
requisitos da norma NBR ISO/IEC 27001.
70- Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de
segurança e seus componentes ?
Redes Não Confiáveis - Não é possível informar se necessitam de proteção.
71- A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a
interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos
de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste
caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança?
Gestão da Continuidade do Negócio
72- Você está trabalhando em um projeto de classificação de informação e sua empresa
trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar
danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos
concorrentes e ,também possíveis perda de clientes. Neste caso você classificaria estas
informações em qual nível de segurança?
Confidencial.
73- Qual das opções abaixo apresenta o documento integrante da Política de Segurança
da Informação onde são especificados no plano tático, as escolhas tecnológicas e os
controles que deverão ser implementados para alcançar a estratégia definida nas
diretrizes?
Normas.
74- Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da
Família ISO/IEC 27000 ?
ISO/IEC 27005
75- Nas estratégias contingência implementadas pelas empresas, qual das opções abaixo
NÃO é considerada uma estratégias de contingência ?
Small Site
76- As ameaças são agentes ou condições que causam incidentes que comprometem as
informações e seus ativos por meio da exploração de vulnerabilidades . As ameaças
inconscientes, quase sempre causadas pelo desconhecimento poderão ser classificadas
como:
Involuntárias.
77- Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se
concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo
assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na
organização são consideradas:
Medidas Preventivas
78- Existem diferentes caminhos que um atacante pode seguir para obter acesso aos
sistemas. Qual das opções abaixo Não representa um destes tipos de ataques?
Ataques Genéricos
79- Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da
Família ISO/IEC 27000 ?
ISO/IEC 27005
80-Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio
de garantir que a organização certificada:
implementou um sistema para gerência da segurança da informação de acordo com os
padrões e melhores práticas de segurança reconhecidas no mercado
81-O Exploit é um termo muito utilizado em segurança da informação. Qual das opções
abaixo descreve o que conceito de um Exploit ?
Um programa de computador, uma porção de dados ou uma sequência de comandos que
se aproveita das vulnerabilidades de um sistema computacional.
82- Na vulnerabilidade dos sistemas, o cavalo de troia e os applets mal intencionados são
exemplos de métodos de ataque do tipo:
fraude de programação.
83- Um programa ou parte de um programa de computador, normalmente malicioso, que
se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros
programas e arquivos de um computador pode ser descrito como sendo um:
vírus
84- Qual das Opções abaixo representa a ordem correta dos passos que um Atacante
normalmente segue para realizar um Ataque de Segurança :
Levantamento, Exploração, Obtenção, Manutenção e Camuflagem
85- João e Pedro são administrador de sistemas de uma importante empresa e estão
instalando uma nova versão do sistema operacional Windows para máquinas servidoras.
Durante a instalação Pedro percebeu que existem uma série de exemplos de códigos já
prontos para serem executados, facilitando assim o trabalho de administração do sistema.
Qual o tipo de ataque que pode acontecer nesta situação?
Shrink Wrap Code
86- De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos
três princípios da CID difere de empresa para empresa, pois cada empresa possui uma
combinação única de requisitos de negócio e de segurança, podemos dizer que:
A afirmação é verdadeira.
87- O papel estratégico dos sistemas de informação nas empresas cresce a cada dia.
Qual das opções abaixo não pode ser considerada como sendo um dos "Propósitos da
Informação" dentro das empresas e organizações?
Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos;
88- João é analista de segurança da empresa Ypisol e percebeu que alguém está
tentando obter acesso à rede através do envio de um grande número de requisições de
conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o
invasor está tentando utilizar?
SYN Flooding
89- Como qualquer bem ou recurso organizacional, a informação também possui seu
conceito de valor está associado a um contexto. A informação terá valor econômico para
uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva,
caso contrário poderá ter pouco ou nenhum valor. Segundo os conceitos da Segurança da
Informação, onde devemos proteger as informações?
Nos Ativos .
90- Qual das opções abaixo completa a sentença: ¿Quanto maior a probabilidade de uma
determinada ameaça ocorrer e o impacto que ela trará, maior será _________.
O risco associado a este incidente.
91- Antônio deseja obter informações sigilosas de uma importante empresa da área
financeira. Para isso implementou um programa que que irá coletar informações pessoais
e financeiros da vítima. Para obter sucesso no ataque, Antônio irá induzir o acesso a
página fraudulenta através do envio de uma mensagem não solicitada. Neste caso
estavamos nos referindo ao ataque do tipo
Phishing Scan
92- João configurou nas máquinas servidoras da empresa que trabalha o serviço de Log
de forma a registrar as operações realizadas pelos usuários e serviços do sistema. Neste
caso, João está implementando uma propriedade de segurança relacionada à(o):
Não-Repúdio;
93- assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade
certificadora confiável. Uma mensagem será enviada de Ana para Bernardo, satisfazendo
às seguintes condições:
1 - a mensagemdeve ser criptografada de modo que não seja interceptável no caminho;
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana;
3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às
condições anteriores.
A mensagem de Ana para Bernardo deve ser assinada:
com a chave privada de Ana e criptografada com a chave pública de Bernardo.
94- Segundo os conceitos de Segurança da Informação as proteções são medidas que
visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das
opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às
organizações?
Administrativa, Física e Lógica.
95- A gestão do ciclo de vida da informação, no contexto da segurança da Informação,
tem se tornado um elemento fundamental para:
A gestão dos negócios da organização .
96- As ameaças propositais causadas por agentes humanos como hackers, invasores,
espiões,ladrões e etc. poderão ser classificadas como:
Voluntárias
97- Quando um atacante deseja realizar uma invasão, a utilização de rootkits, backdoors
ou trojans pode estar associada a qual dos passos realizados pelo Atacante?
Camuflagem das Evidências
98- Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas
trabalham e a forma como a tecnologia da informação apóia as operações e processos
das empresas, qual das opções abaixo poderá ser escolhida como sendo aquela que
possui os elementos fortemente responsáveis por este processo?
O crescimento explosivo dos cursos relacionados com a tecnologia da informação;
99- Além de classificar as ameaças quando a sua intencionalidade, também podemos
classificá-las quanto a sua origem, neste caso quais das opções abaixo apresenta a
classificação quanto a origem para as ameaças ?
Interna e Externa
100- A análise de vulnerabilidade permite que os profissionais de segurança e TI da
empresa possam ter maior conhecimento do ambiente de TI e seus problemas. Qual das
opções abaixo não é um exemplo de teste de vulnerabilidade lógica em maquinas de uma
rede alvo?
Ruídos elétricos na placa wireless.
101- Qual das opções abaixo apresenta o documento integrante da Política de Segurança
da Informação onde são detalhadas no plano operacional, as configurações de um
determinado produto ou funcionalidade que devem ser feitas para implementar os
controles e tecnologias estabelecidas pela norma.
Procedimentos.
102- A organização deve analisar criticamente seu SGSI em intervalos planejados para
assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou
necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como
um elemento para a realização desta análise:
A avaliação dos riscos e incidentes desejados;
103- A utilização de crachás de identificação de colaboradores numa organização está
fundamentalmente associado a que tipo de proteção ?
Preventiva.
104- Como qualquer bem ou recurso organizacional, a informação também possui seu
conceito de valor . Neste contexto qual das opções abaixo indica o tipo de “valor da
informação” que pode ser atribuído ao seguinte conceito: ”É o quanto o usuário está
disposto a pagar, conforme as leis de mercado (oferta e demanda)”.
Valor de troca .
105-O que ocorre quando uma ameaça explora uma ou mais vulnerabilidades de um ativo
segundo os conceitos da Segurança da Informação?
Um Incidente de Segurança.
106- Qual das ameaças abaixo não é uma função diretiva primária realizada por um
Spyware?
Alteração ou destruição de arquivos;
107- Se um invasor mal intencionado desejasse utilizar de uma ferramenta para mapear
potenciais vulnerabilidades em computadores, assegurar o acesso futuro a estes
computadores e remover as evidências de suas ações, qual ferramenta (malware) ele
utilizaria como sendo a mais eficaz dentre as apresentadas na opções abaixo ?
Rootkit
108- O valor da informação para as empresas é considerado, na atualidade, como algo
imensurável. Nos últimos anos, a demanda gradual por armazenamento de conhecimento
tem levado à necessidade de administração desses dados de forma confiável. Neste
contexto qual das opções abaixo poderá definir melhor o conceito de “Dado”?
Elemento identificado em sua forma bruta e que por si só não conduz a uma
compreensão de determinado fato ou situação.
109- O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário
no teclado de um computador que podem ser desde o texto de um e-mail, até
informações mais sensíveis, como senhas bancárias e números de cartões de crédito é
conhecido como:
Keylogger
110- João coordena a área de segurança na empresa XPTO e tem conhecimento de que
a negligência por parte dos administradores de rede e a falta de conhecimento técnico de
alguns usuários são exemplos típicos de vulnerabilidade. Por conta disso implementou
medidas que impedem a configuração e a instalação indevidas de programas de
computador/sistemas operacionais que poderiam levar ao uso abusivo dos recursos por
parte de usuários mal-intencionados e que neste caso representam exemplos de
vulnerabilidade :
De Software;
111-Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um
excessivo número de pacotes PING para o domínio de broadcast da rede? Neste tipo de
ataque o endereço de origem utilizado é o endereço IP da vítima desejada, de forma que
todos os hosts do domínio de broadcast irão responder para este endereço IP , que foi
mascarado pelo atacante.
Fraggle
112- As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas
mais diversas áreas de uma organização, a todo instante os negócios, seus processo e
ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda
ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na ótica
da Segurança da Informação?
Fragilidade presente ou associada a ativos que manipulam ou processam
informações
113- A utilização inadequadas dos dispositivos de armazenamento das informações,
podem deixar seu conteúdo vulnerável a uma série de fatores que poderão afetar a
integridade, a disponibilidade e a confidencialidade das informações. Este tipo de
vulnerabilidade é classificada como:
Mídia;
114- Qual opção abaixo representa a descrição do Passo “Manutenção do Acesso” dentre
aqueles que são realizados para um ataque de segurança ?
O atacante tenta manter seu próprio domínio sobre o sistema.
115- Quando devem ser executadas as ações corretivas?
Devem ser executadas para eliminar as causas da não-conformidade com os requisitos
do SGSI de forma a evitar a sua repetição
116- Além da análise de vulnerabilidade também é muito importante que o profissional de
TI periodicamente realize uma pesquisa de vulnerabilidade . Qual das opções abaixo
define o conceito de Pesquisa de Vulnerabilidades?
Descobrir as falhas e deficiências em um produto ou aplicação que podem comprometer a
segurança.
117- Qual das opções abaixo representa o tipo de Método utilizado para a análise e
avaliação dos riscos onde são utilizados termos numéricos para os componentes
associados ao risco.
Método Quantitativo.
118- A organização deve executar ações para melhorar continuamente a eficácia do
SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de
segurança, resultados de auditorias, da análise dos eventos monitorados e através de
ações:
Corretivas e Preventivas.
119- Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi
alvo de de um ataque DDoS e foi descrito como o maior já sofrido pela empresa. C omo
resultado desse ataque, quase 18 MILHÕES de blogs, incluindo os que fazemparte do
serviço VIP da empresa sofreram com problemas nos acessos. Entre eles, estão inclusos
o Financial Post, o Nacional Post e o TechC runch. O tamanho ataque alcançou vários
Gigabits por segundo e alguns milhões de pacotes por segundo. Apesar do ataque ter
atingido três data centers do Wordpress, a investigação suspeita que o ataque tenha tido
motivações políticas e o alvo tenha sido um blog. Qual você acha que foi a vulnerabilidade
Vulnerabilidade Software
120- instalações físicas a área de desenvolvimento de sistemas. O prazo de retorno para
as atividades neste local físico será de pelo menos 15 dias, o que acarretará no estouro
do prazo dos projetos já em andamento. A empresa Y foi contratada para realizar o
serviço de desenvolvimento enquanto as instalações físicas da áre de desenvolvimento
não fica operacional. Neste caso qual a estratégia de contingenciamento que está sendo
aplicada?
Bureau de service
121- Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um
documento da política geral. Normalmente o documento de política geral é dividido em
vários documentos. Qual das opções abaixo apresenta um conjunto típico destes
documentos?
Diretrizes; Normas e Procedimentos
122- Como qualquer bem ou recurso organizacional, a informação também possui seu
conceito de valor . Qual das opções abaixo indica o tipo de “valor da informação” que
pode ser atribuído ao seguinte conceito: “Surge no caso de informação secreta ou de
interesse comercial, quando o uso fica restrito a apenas algumas pessoas”.
Valor de restrição.
123- Você precisa elaborar um relatório com o resultado da análise de vulnerabilidades
que foi realizada na sua empresa. Você percebeu que no levantamento das
vulnerabilidades do ambiente de TI foram encontradas inconsistências. Qual das opções
abaixo não pode ser considerada como um exemplo de um tipo de vulnerabilidade que
pode ser encontrada num ambiente de TI?
Falha na transmissão de um arquivo por uma eventual queda de energia.
124- Você está trabalhando em um projeto de segurança e deseja implementar
mecanismos de segurança contra as ameaças que são capazes de armazenar a posição
do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado.
Neste caso podemos classificar esta ameaça como sendo um:
Screenloggers
125- Como não existe uma única causa para o surgimento das vulnerabilidades,
diferentes tipos de vulnerabilidade podem estar presente em diversos ambientes
computacionais. Neste sentido qual das opções abaixo não representa um exemplo de
tipo de vulnerabilidade?
Vírus.
126- Um tipo de software especificamente projetado para apresentar propagandas, seja
através de um browser, seja através de algum outro programa instalado em um
computador pode ser descrito como sendo um:
Adware
127- No contexto da Segurança da Informação, a medida que indica a probabilidade de
uma determinada ameaça se concretizar, combinada com os impactos que ela trará está
relacionada com qual conceito de?
Risco.
128- Qual opção abaixo representa a descrição do Passo Levantamento das Informações,
dentre aqueles que são realizados para um ataque de segurança ?
O atacante procura coletar o maior número possível de informações sobre o "alvo em
avaliação".
130- Como não existe uma única causa para o surgimento das vulnerabilidades,
diferentes tipos de vulnerabilidade podem estar presente em diversos ambientes
computacionais. Qual das opções abaixo"NÃO" representa um exemplo de tipo de
vulnerabilidade?
Administrativa
131-Suponha que um invasor mal intencionado desejasse observar o padrão das
mensagens enviadas, de forma a poder determinar o local e a identidade dos envolvidos
na comunicação e ainda observar a frequência e o tamanho das mensagens trocadas.
Qual o tipo de ataque ele utilizaria dentre as opções apresentadas abaixo ?
Passivo - análise de tráfego
132- Você é um consultor de segurança e trabalha em projetos de segurança da
informação, que tem como uma das suas etapas a atividade de classificação dos ativos
da organização. Qual das opções abaixo não representa um exemplo de Ativo Intangível:
Sistema de Informação.
133- Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que
mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe
alguma porção de risco que não é eliminada. Neste caso estamos nos referindo a que tipo
de risco:
Risco residual;
134- Qual das opções abaixo não representa uma das etapas da Gestão de Risco:
Manter e melhorar os riscos identificados nos ativos
135- As Ameaças decorrentes de fenômenos da natureza, como incêndios naturais,
enchentes, terremotos e etc. poderão ser classificadas como:
Naturais.
136- Os possíveis defeitos de fabricação ou configuração dos equipamentos das
empresas que podem permitir o ataque ou a alteração dos mesmos são classificados
como vulnerabilidades de:
Hardware;
137- Após conseguir realizar o levantamento das informações da empresa XPTO e
acessar o servidor de banco de dados com as informações dos clientes da organização.
Pedro, o invasor, tenta esconder seus atos não autorizados com o objetivo de prolongar
sua permanência de acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste
caso, Pedro está em que passo da metodologia de um ataque?
Camuflagem das Evidências
138- Qual dos exemplos abaixo não pode ser considerado como sendo claramente um
código malicioso ou Malware?
active-x
139- Qual das opções abaixo refere-se ao conceito definido pela RFC 2828 do Internet
Security Glossary : “Potencial para violação da segurança quando há uma circunstância,
capacidade, ação ou evento que pode quebrar a segurança e causar danos” .
Ameaça.
140- A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso
físico não autorizado, danos e interferências com as instalações e informações da
organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de
ação de Segurança:
Segurança Física e do Ambiente.
141- Qual das opções abaixo demonstra a seqüência correta de elementos e eventos que
fazem parte de um processo de análise da Segurança da Informação?
As Ameaças exploram as Vulnerabilidades ocorrendo em Incidentes de Segurança que
afetam os processos de negócio resultando em Impactos para as organizações.
142- Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os
riscos na área de Banco de Dados, pretende instalar dispositivos de autenticação de
acesso físico, que será implementado através de dispositivo biométrico. Neste caso que
tipo de barreira você está implementando?
Dificultar
143- O processo de identificar as proteções existentes e ausentes, identificar falhas nas
existentes e levantar dados que possam prever a efetividade desse conjunto de proteções
pode ser descrito em qual das opções abaixo?
Análise de Vulnerabilidade
144- Você está trabalhando em um projeto de segurança e necessita identificar os
principais tipos de ameaças que podem comprometer a segurança da informação na sua
empresa. Foram detectados em algumas máquinas programas que permitem o retorno de
um invasor a um computador comprometido utilizando serviços criados ou modificados
para este fim e sem precisar recorrer aos métodos utilizados na invasão. Neste caso
podemos classificar esta ameaça como sendo um:
Backdoor
145- Você trabalha na área de administração de rede está percebendo que a rede tem
apresentado um comportamento diferente do normal. Você desconfia que possam estar
ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar
o levantamento periódico do que está ocorrendo no tráfego da rede.Neste caso você irá
utilizar:
Um detector de intrusão para realizar a análise do tráfego da rede;
146- Podemos afirmar que um Ataque pode ser derivado de uma ameaça inteligente, ou
seja, a tentativa deliberada de burlar os serviços de segurança e violar a política de
segurança de um sistema?
A afirmação só seria verdadeira se a ameaça não fosse inteligente
147- Paulo é consultor de uma empresa de segurança e foi contratado para desenvolver a
política de segurança da empresa Blue. Nesta fase do projeto Paulo necessita elaborar
documento, integrante da Política de Segurança da Informação, onde deverá detalhar as
configurações operacionais da rotina de Backup da empresa. Neste caso Paulo estará
elaborando:
Procedimentos.
148- São consideradas as principais causas das ocorrências de incidentes de segurança:
Vulnerabilidades
149- Cada empresa ao tratar segurança da informação e independentemente de sua área
de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os
três princípios considerados como fundamentais para atingir os objetivos da Segurança
da Informação:
Confidencialidade, Disponibilidade e Integridade.
150- Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões?
Passivo
151- Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem
também muitos desafios de negócios e gerenciais no desenvolvimento e implementação
de novos usos da tecnologia da informação em uma empresa. Neste contexto qual o
objetivo fundamental da Segurança da Informação?
Visa à proteção de todos os ativos de uma empresa que contêm informações.
152- Segundo os princípios da Segurança da Informação, qual das opções abaixo
representa melhor o conceito de Ativos de Informação?
São aqueles que produzem, processam, transmitem ou armazenam informações.
153- A informação também possui seu conceito de valor e que está associado a um
contexto, podendo gerar lucros ou ser alavancadora de vantagem competitiva e até
mesmo possuir pouco ou nenhum valor. No contexto da segurança da informação o que
consiste o processo de classificação da informação ?
Identificar quais são os níveis de proteção que as informações demandam e estabelecer
classes e formas de identificá-las, e determinar os controles de proteção para cada uma
delas.
154- O que ocorre quando uma ameaça explora uma ou mais vulnerabilidades de um
ativo segundo osvconceitos da Segurança da Informação?
Um Incidente de Segurança.
155- Marcelo é analista de suporte da empresa X e está responsável pela instalação dos
equipamentos de rede. Durante a instalação do novo roteador, Marcelo saiu para tomar
um café e não percebeu que ocorreram vários erros na instalação do equipamento. Neste
caso ocorreu um exemplo de vulnerabilidade :
Humana;
156- Você está alocado a um projeto de segurança da informação, que tem em uma das
suas etapas a atividade de classificação dos ativos da organização. Qual das opções
abaixo não representa um exemplo de Ativo Tangível:
Marca de um Produto.
157- Você trabalha em uma empresa de comércio eletrônico e descobriu que seu
concorrente
está tentando prejudicar os negócios de sua empresa através de um ataque DDoS. Como
você classificaria este ataque:
Ativo
158- As ameaças são agentes ou condições que causam incidentes que comprometem as
informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções
abaixo apresenta as possíveis classificações das ameaças quanto a sua
intencionalidade?
Naturais, Involuntárias e Voluntarias.
159- O ciclo de vida de uma informação é composto e identificado pelos momentos
vividos pela informação que a colocam em risco. Qual das opções abaixo apresenta os
momentos vividos pela informação dentro do conceito do “Ciclo da Informação” ?
Manuseio, Armazenamento, Transporte e Descarte.
160- Você é o administrador de rede de um grande empresa e para complementar a
implementação da Segurança da Informação em sua organização você instalou uma
solução de antivírus, que neste caso está fundamentalmente associado a que tipo de
proteção ?
Detecção
161- Quando devem ser executadas as ações preventivas, no contexto de um SGSI
(Sistema de Gestão de Segurança da Informação)?
Devem ser executadas para eliminar as causas de não-conformidades potenciais com os
requisitos do SGSI, de forma a evitar a sua ocorrência.
162- Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos
até o seu objetivo, qual das opções abaixo Não representa um destes passos?
Divulgação do Ataque
163- Existe uma série de fatores que impactam na segurança de uma organização. A
ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção
existente está relacionada com o conceito de?
Vulnerabilidade.
164- A NBR ISO/IEC 27002 orienta que a organização assegurar que funcionários,
fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os
seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos.
Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de
Segurança:
Segurança em Recursos Humanos.
165- No contexto da segurança da informação , defina os conceitos de Ativo,
Vulnerabilidade e Ameaça.
Ativo: qualquer coisa que tenha valor para a organização. Vulnerabilidade: A ausência de
um mecanismo de proteção ou falhas em um mecanismo de proteção existente. Ameaça:
Evento que tem potencial em si próprio para comprometer os objetivos da organização,
seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações
inesperadas. 
166- No âmbito da segurança da Informação, uma das etapas de implementação é a
classificação da Informação. Em que consiste o processo de classificação da Informação?
O processo de classificação da informação consiste em identificar quais são os níveis de
proteção que as informações demandam e estabelecer classes e formas de identificá-las,
além de determinar os controles de proteção a cada uma delas.
167- Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo
Fraggle e do tipo Smurf.
Um ataque do tipo Fraggle consitem no envio de um excessivo número de pacotes PING
para o domínio de broadcast da rede, tendo como endereço IP de origem, a vítima
desejada. Dessa forma todos os hosts do domínio de broadcast irão responder para o
endereço IP da vítima, que foi mascarado pelo atacante, ficando desabilitada de suas
funções normais. Já um ataque do tipo smurf é idêntico ao atque Fraggle, alterando
apenas o fato que utiliza-se de pacotes do protocolo UDP.
168- Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo
SQL Injection e um ataque de Buffer Overflow?
Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas
que interagem com bases de dados através da utilização de SQL. A injeção de SQL
ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma
consulta (query) através da manipulação das entrada de dados de uma aplica ão. Já o
ataque de Buffer overflow consiste em enviar para um programa que espera por uma
entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com
o padrão de entrada de dados.
169- Dado o caráter abstrato e intangível da informação, seu valor está associado a um
contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou
se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum
valor. Neste sentido descreva o ciclo de vida da informação, identificando os momentos
vividos pela informação.
Manuseio: Momento em que a informação é criada e manipulada.Armazenamento:
Momento em que a informação é armazenada. Transporte: Momento em que a
informação é transportada. Descarte: Momento em que a informação é descartada.
170- Um Analista de segurança deverá ter familiaridade com as ferramentas, técnicas,
estratégias e metodologias de ataques conhecidos para que possa desta forma contribuir
com a definição correta de quais contramedidas deverão ser adotadas pela organização.
Descreva os cinco passos utilizados pelos atacantes para realizar um ataque:
1- Levantamento das informações: fase de reconhecimento é uma fase preparatória onde
o atacante procura coletar o maior número possível de informações sobre o alvo em
avaliação antes do lançamento do ataque. Podem ser: ativo e passivo.
2- Exploração das informações (scanning): Fase onde o atacante explora a rede baseado
nas informações obtidas na fase de reconhecimento. Pode ser consideradouma fase de
pré-ataque envolve a utilização de diferentes técnicas e softwares, como por exemplo, a
utilização de port scan, scanner de vulnerabilidade e network mapping. 
3- Obtenção do acesso: Esta fase consiste na penetração do sistema propriamente dita.
Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer
através da internet, da rede local, fraude ou roubo. Nesta fase o atacante poderá obter
acesso a nível de: sistema operacional, aplicação e rede.
4- Manutenção do acesso: Nesta fase o atacante tenta manter seu próprio domínio sobre
o sistema. Poderá também protêge-lo de outros atacantes através da utilização de
acessos exclusivos obtidos através de rootkits, backdoors ou trojans.
5- Camuflagem das evidências: Consiste na atividade realizada pelo atacante de tentar
camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na
máquina hospedeira, na utilização indevida dos recursos computacionais Identificar as
vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança é
um aspecto importante na identificação de medidas adequadas de segurança.
171- Qual a diferença entre análise de vulnerabilidade, teste de vulnerabilidade e
pesquisa de vulnerabilidade?
Análise vulnerabilidade: Verificar a existência de falhas de segurança no ambiente de TI
das empresas. Teste de vulnerabilidade: Determinação de que falhas de segurança
podem ser aplicadas à máquina ou rede alvo. Pesquisa de vulnerabilidade: Significa
descobrir as falhas e deficiência em um produto ou aplicação que podem comprometer a
segurança
172- Cada empresa ao tratar a segurança da informação e independentemente de sua
área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou
os três princípios fundamentais da segurança da informação. Fale sobre cada um dos três
princípios.
Disponibilidade: Garantia de que só usuários autorizados obtêm acesso à informação e
aos ativos correspondentes sempre que necessário. Integridade: Salvaguardar a exatidão
e completeza da informação e dos métodos de processamento. Confidencialidade:
Garantia de que os usuários autorizados obtém acesso à informação e aos ativos
correspondentes sempre que necessários
173- Uma vez definido nosso foco de atuação, os profissionais de seguranças têm à sua
disposição diversas estratégias de proteção, sendo algumas mais úteis em determinadas
situações que outras, mas, no geral, elas podem estar presentes no ambiente como um
todo, se sobrepondo e se complementando. Dito isso defina com suas palavras um
"FIREWALL":
Isola a rede interna da organização da área pública da Internet, permitindo que alguns
pacotes passem e outros não, prevenindo ataques de negação de serviço ou
modificações e acessos ilegais aos dados internos Permite apenas acesso autorizado à
rede interna (conjunto de usuários e servidores autenticados)
174- Foi noticiado na internet que um grande banco teve um incidente de segurança e
que grandes vultos de dinheiro foram transferidos sem que os clientes soubessem.
Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a
credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta situação?
Intangível
175- Para auxiliar no processo de classificação das informações das organizações,
podemos utilizar que ferramenta?
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a
Integridade e a Disponibilidade das Informações.
176- Assinale a opção correta acerca da análise de vulnerabilidades e riscos de
segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.
O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível
de risco.
177- Pedro construiu um software de cartão virtual animado que além de executar as
funções para as quais foi aparentemente projetado, também executa outras funções sem
o conhecimento do usuário, como captar a senha do usuário por exemplo. Neste caso
podemos afirmar que Pedro construiu um:
Trojan
178- Antônio deseja obter informações sigilosas de uma importante empresa da área
financeira. Para isso implementou um programa que que irá coletar informações pessoais
e financeiros da vítima. Para obter sucesso no ataque, Antônio irá induzir o acesso a
página fraudulenta através do envio de uma mensagem não solicitada. Neste caso
estavamos nos referindo ao ataque do tipo
Phishing Scan
179- Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no
momento da descoberta ?
0day
180- Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de
riscos de segurança da informação.
A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de
valor.
181- BIA, Business Impact Analysis é o nome em inglês de um relatório executivo
chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os
prováveis impactos de forma ............................e........................... dos principais processos
de negócios mapeados e entendidos na organização, no caso de interrupção dos
mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os
esforços e a tomada de decisões para a implementação da Continuidade de Negócios.
Qualitativa e Quantitativa
182- Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem
também muitos desafios de negócios e gerenciais no desenvolvimento e implementação
de novos usos da tecnologia da informação em uma empresa. Neste contexto qual o
objetivo fundamental da Segurança da Informação?
Visa à proteção de todos os ativos de uma empresa que contêm informações.
183- Segundo os princípios da Segurança da Informação, qual das opções abaixo
representa melhor o conceito de Ativo de Informação?
São aqueles que produzem, processam, transmitem ou armazenam informações.
184- Considere um sistema no qual existe um conjunto de informações disponível para
um determinado grupo de usuários denominados "engenheiros". Após várias consultas
com respostas corretas e imediatas, em um determinado momento, um usuário
pertencente ao grupo "engenheiros" acessa o sistema em busca de uma informação já
acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na
segurança da informação para este sistema na propriedade relacionada à:
Disponibilidade
185- As ameaças propositais causadas por agentes humanos como hackers, invasores,
espiões, ladrões e etc. poderão ser classificadas como:
Voluntárias
186- Um dos principais tipos de ataques à Segurança das informações funciona da
seguinte forma: Consiste na verificação do lixo em busca de informações que possam
facilitar o ataque. É uma técnica eficiente e muito utilizadae que pode ser considerada
legal visto que não existem leis a respeito dos lixos. Neste caso é interessante que as
informações críticas da organização (planilhas de custos, senhas e outros dados
importantes) sejam triturados ou destruídos de alguma forma. Qual seria este ataque:
Dumpster diving ou trashing.
187- Um grupo específico de medidas preventivas é chamado de barreiras de segurança,
uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser
física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a
barreira "Detectar":
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e
instrumentem os gestores da segurança na detecção de situações de risco.
188- Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de
riscos de segurança da informação.
A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de
valor.
189- Qual das seguintes opções é considerada a mais crítica para o sucesso de um
programa de segurança da informação?
Conscientização dos usuários.
190- Você está trabalhando em um projeto de implantação da continuidade de negócios
em sua organização. Você está na fase do projeto que é necessário determinar a
estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a
ser definida:
A organização deve implementar medidas apropriadas para reduzir a probabilidade de
ocorrência de incidentes e seus efeitos.
191- Você está trabalhando em um projeto de implantação da continuidade de negócios
em sua organização. Você está na fase do projeto que é a análise de impacto nos
negócios. Analise a opção que melhor retrata as ações que você deve realizar:
Levantar o grau de relevância dos processos ou atividades que compõe a entrega de
produtos e serviços fundamentais para a organização.