BDQ gestao seg informação 2016

Prévia do material em texto

Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam 
impactar no estudo e implementação de um processo de gestão de segurança em uma organização? 
 
 Risco. 
 Impacto . 
 Vulnerabilidade. 
 insegurança 
 Ameaça. 
 
 
 
 
 
 
 
 
Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de 
dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este 
episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi 
envolvido nesta situação? 
 
 Intangível 
 Tangível 
 Ativo 
 Abstrato 
 Passivo 
 
 
 
 
 
 3a Questão (Ref.: 201409930156) Fórum de Dúvidas (3 de 17) Saiba (1 de 3) 
 
Trata-se de " [...] uma sequência de símbolos quantificados ou quantificáveis. [...]" Também são ______ 
fotos, figuras, sons gravados e animação." Tal conceito refere-se a: 
 
 Nenhuma da alternativas anteriores 
 Dado 
 Sistemas de Informação 
 Informação 
 Conhecimento 
 
 
 
 
 
 4a Questão (Ref.: 201409170616) Fórum de Dúvidas (1 de 17) Saiba (3) 
 
Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos 
dizer que: 
 
 A afirmativa é verdadeira somente para vulnerabilidades lógicas. 
 A afirmativa é verdadeira somente para vulnerabilidades físicas. 
 A afirmativa é verdadeira somente para ameaças identificadas. 
 A afirmativa é falsa. 
 A afirmativa é verdadeira. 
 
 
 
 
 
 5a Questão (Ref.: 201409690048) Fórum de Dúvidas (1 de 17) Saiba (3) 
 
Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 (três) 
aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança da Informação". 
Quais elementos compõem a tríade da segurança da informação? 
 
 Disponibilidade, Privacidade e Segurabilidade 
 Privacidade, Governabilidade e Confidencialidade 
 Integridade, Legalidade e Confiabilidade 
 Confiabilidade, Integridade e Disponibilidade 
 Autenticidade, Legalidade e Privacidade 
 
 
 
 
 
 6a Questão (Ref.: 201409170622) Fórum de Dúvidas (3 de 17) Saiba (1 de 3) 
 
Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma 
como a tecnologia da informação apóia as operações e processos das empresas, qual das opções abaixo 
poderá ser escolhida como sendo aquela que possui os elementos fortemente responsáveis por este 
processo? 
 
 O crescimento explosivo dos cursos relacionados com a tecnologia da informação; 
 O Aumento no consumo de softwares licenciados; 
 O uso da internet para sites de relacionamento; 
 O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; 
 O crescimento explosivo da venda de computadores e sistemas livres; 
 
 
 
 
 
 7a Questão (Ref.: 201409170615) Fórum de Dúvidas (3 de 17) Saiba (1 de 3) 
 
A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração 
desses dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do 
tratamento dos Dados para a sua utilização eficaz nas organizações? 
 
 Dado - Conhecimento - Informação 
 Dado - Informação - Conhecimento 
 Dado - Informação - Dados Brutos 
 Dado - Informação - Informação Bruta 
 Dado - Conhecimento Bruto - Informação Bruta 
 
 
 
 
 
 8a Questão (Ref.: 201409173344) Fórum de Dúvidas (3 de 17) Saiba (1 de 3) 
 
Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de 
diversas propriedade e que permitem a organização deste ativos em grupos com características 
semelhantes no que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções 
abaixo define a classificação dos tipos de ativos? 
 
 Intangível e Qualitativo. 
 Material e Tangível. 
 Contábil e Não Contábil. 
 Tangível e Físico. 
 Tangível e Intangível. 
 
 
A informação é um ativo importante dentro da organização, e que deve ser protegido em todas as fases do 
seu ciclo de vida. Aponte dentre as alternativas abaixo aquela que corresponde ao correto ciclo de vida da 
informação: 
 
 Geração, Transporte, Publicação, Apreciação e Arquivamento. 
 Criação, Edição, Correção, Manuseio e Descarte 
 Geração, Transporte, Armazenamento, Manuseio e Descarte. 
 Desarquivamento, Transporte, Edição, Manuseio e Descarte 
 Geração, Edição, Correção, Divulgação e Descarte 
 
 Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201409173423) Fórum de Dúvidas (2) Saiba (0) 
 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor está 
associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se 
for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Segundo os 
conceitos da Segurança da Informação, onde devemos proteger as informações? 
 
 Nas Vulnerabilidades e Ameaças. 
 Nas Ameaças. 
 Nos Riscos. 
 Nos Ativos . 
 Nas Vulnerabilidades. 
 
 Gabarito Comentado 
 
 
 
 
 3a Questão (Ref.: 201409173207) Fórum de Dúvidas (2) Saiba (0) 
 
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID 
difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio 
e de segurança¿, podemos dizer que: 
 
 A afirmação é somente falsa para as empresas privadas. 
 A afirmação é verdadeira. 
 A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
 A afirmação é somente verdadeira para as empresas privadas. 
 A afirmação é falsa. 
 
 
 
 
 
 4a Questão (Ref.: 201409173421) Fórum de Dúvidas (2) Saiba (0) 
 
As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de 
uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são 
alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de 
Vulnerabilidade na ótica da Segurança da Informação? 
 
 Fragilidade presente ou associada a ativos que manipulam ou processam informações . 
 Fragilidade presente ou associada a ativos que exploram ou processam informações . 
 Fragilidade presente ou associada a ameaças que manipulam ou processam informações . 
 Impacto presente ou associada a ativos que manipulam ou processam informações. 
 Ameaça presente ou associada a ativos que manipulam ou processam informações. 
 
 
 
 
 
 5a Questão (Ref.: 201409173420) Fórum de Dúvidas (2) Saiba (0) 
 
A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um 
elemento fundamental para: 
 
 A gestão dos negócios da organização . 
 A gestão de orçamento. 
 A gestão do ciclo da informação interna. 
 A gestão da área comercial. 
 A gestão dos usuários. 
 
 
 
 
 
 6a Questão (Ref.: 201409173388) Fórum de Dúvidas (2) Saiba (0) 
 
Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que 
cada informação tem . Quando uma informação é classificada como aquela que a organização não tem 
interesse em divulgar, cujo acesso por parte de indivíduos externos a ela deve ser evitado, porém caso seja 
disponibilizada não causará danos sérios à organização, podemos afirmar que ela possui qual nível de 
segurança? 
 
 Confidencial. 
 PúblicaConfidencial. 
 Secreta. 
 Interna. 
 Irrestrito. 
 
 Gabarito Comentado 
 
 
 
 
 7a Questão (Ref.: 201409173382) Fórum de Dúvidas (2) Saiba (0) 
 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo 
de usuários denominados ¿auditores¿. Um usuário de um outro grupo, o grupo ¿estudante¿, tenta acessar 
o sistema em busca de uma informação que somente o grupo ¿auditores¿ tem acesso e consegue. Neste 
caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: 
 
 Integridade; 
 Não-Repúdio; 
 Confidencialidade; 
 Disponibilidade; 
 Auditoria; 
 
 
 
 
 
 8a Questão (Ref.: 201409173385) Fórum de Dúvidas (2) Saiba (0) 
 
Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que 
cada informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos 
sem causar danos à organização, podemos afirmar que ela possui qual nível de segurança? 
 
 Secreta. 
 Confidencial. 
 Irrestrito. 
 As opções (a) e (c) estão corretas. 
 Interna. 
 
 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode 
dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar 
particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em 
relação a Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física: 
 
 Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de 
fabricação. 
 Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 
 Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a 
instalação. 
 Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de 
energia). 
 Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de 
informações, perda de dados ou indisponibilidade de recursos quando necessários. 
 
 Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201409810929) Fórum de Dúvidas (5) Saiba (0) 
 
Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas tentativas de 
invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques criminosos foi a RSA 
Security, que teve diversos de seus dados roubados por hackers não identificados. O ataque por sua vez foi 
Injection em seu banco de dados. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? 
 
 Vulnerabilidade de Software. 
 Vulnerabilidade de Mídias. 
 Vulnerabilidade de Comunicação. 
 Vulnerabilidade Física. 
 Vulnerabilidade Natural. 
 
 
 
 
 
 3a Questão (Ref.: 201409244235) Fórum de Dúvidas (1 de 5) Saiba (0) 
 
Maio/2011 - A Sony sofre invasão de hackers com o vazamento de informações de mais de 100 milhões de 
usuários da rede online de games PlayStation Network. O ataque à base de dados de clientes se realizou 
desde um servidor de aplicações conectado com ela, e que está depois de um servidor site e dois firewalls. 
Segundo a companhia, os hackers encobriram o ataque como uma compra na plataforma online de Sony e 
depois de passar do servidor site, O ataque, que foi considerado um dos maiores, no sentido do vazamento 
de dados confidenciais, da história obrigou a Sony a reconstruir grande parte da sua rede, causado um 
prejuízo de 171 milhões de Dólares. A rede também ficou fora do ar por 28 dias, sendo que alguns serviços 
menos essenciais foram reestabelecidos primeiro e regionalmente antes do reestabelecimento total de 
todos os serviços. . Qual você acha que foi a vulnerabilidade para este ataque? 
 
 Vulnerabilidade Natural 
 Vulnerabilidade Física 
 Vulnerabilidade de Software 
 Vulnerabilidade de Comunicação 
 Vulnerabilidade de Mídias 
 
 
 
 
 
 4a Questão (Ref.: 201409356425) Fórum de Dúvidas (5) Saiba (0) 
 
 
Observe a figura acima e complete corretamente a legenda dos desenhos: 
 
 
 Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios 
 Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios 
 Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos 
 Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos 
 Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios 
 
 Gabarito Comentado 
 
 
 
 
 5a Questão (Ref.: 201409846032) Fórum de Dúvidas (5) Saiba (0) 
 
Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões entre a 
presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de 
saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria compartilhe as 
informações confidenciais que possui. Neste caso estamos falando de vulnerabilidade do tipo: 
 
 Mídia 
 Humana 
 Natural 
 Comunicação 
 Física 
 
 Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201409244238) Fórum de Dúvidas (1 de 5) Saiba (0) 
 
As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em 
Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que 
atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos 
destinados a acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que 
eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens 
para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? 
 
 Vulnerabilidade Natural 
 Vulnerabilidade de Software 
 Vulnerabilidade Mídia 
 Vulnerabilidade Física 
 Vulnerabilidade Comunicação 
 
 
 
 
 
 7a Questão (Ref.: 201409677223) Fórum de Dúvidas (5) Saiba (0) 
 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo 
de usuários denominados "engenheiros". Após várias consultas com respostas corretas e imediatas, em um 
determinado momento, um usuário pertencente ao grupo "engenheiros" acessa o sistema em busca de 
uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na 
segurança da informação para este sistema na propriedade relacionada à: 
 
 Integridade 
 Confidencialidade 
 Disponibilidade 
 Auditoria 
 Autenticidade 
 
 Gabarito Comentado Gabarito Comentado 
 
 
 
 
 8a Questão (Ref.: 201409687909) Fórum de Dúvidas (1 de 5) Saiba (0) 
 
Relacione a primeira coluna com a segunda: 
A. Área de armazenamento sem proteção 1. ativo 
B. Estações de trabalho 2. vulnerabilidade 
C. Falha de segurança em um software 3. ameaça 
D. Perda de vantagem competitiva 4. impacto 
E. Roubo de informações 5. medida de segurança 
F. Perda de negócios 
G. Não é executado o "logout" ao término do uso dos sistemas 
H. Perda de mercado 
I. Implementar travamento automático da estação após período de tempo sem uso 
J. Servidores 
K. Vazamento de informação 
 
 
 A2, B1, C3, D3, E3, F4, G2, H4, I5, J1, K4. 
 A2, B1, C2, D3, E3, F3, G2, H4, I5, J1, K4. 
 A2, B1, C2, D4, E3, F4, G2, H4, I5, J1, K3. 
 A2, B1, C3, D3, E4, F4, G2, H4, I5, J1, K3. 
 A2, B1, C2, D4, E4, F4, G2, H4,I5, J1, K3. 
 
 
Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As 
consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores 
alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de 
arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a 
outros tipos de ataques. Em relação a classificação das ameaças podemos definir como ameaças 
involuntárias: 
 
 Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, 
terremotos e etc. 
 Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, 
ladrões e etc. 
 Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia 
nas comunicações. 
 Erros propositais de instalação ou de configuração possibilitando acessos indevidos. 
 Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser 
ocasionados por falha no treinamento, acidentes, erros ou omissões. 
 
 
 
 
 
 2a Questão (Ref.: 201409356428) Fórum de Dúvidas (3 de 4) Saiba (1 de 1) 
 
As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua 
intencionalidade: 
 
 Intencional, proposital e natural 
 Natural, presencial e remota 
 Voluntária, involuntária e intencional 
 Intencional, presencial e remota 
 Natural, voluntária e involuntária 
 
 Gabarito Comentado 
 
 
 
 
 3a Questão (Ref.: 201409170161) Fórum de Dúvidas (4) Saiba (1) 
 
O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um 
computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas 
bancárias e números de cartões de crédito é conhecido como: 
 
 Keylogger 
 Spyware 
 vírus 
 exploit 
 backdoor 
 
 
 
 
 
 4a Questão (Ref.: 201409170159) Fórum de Dúvidas (4) Saiba (1) 
 
Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais 
foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário 
poderá ser melhor descrito como sendo um: 
 
 active-x 
 worm 
 exploit 
 vírus 
 cavalo de tróia (trojan horse) 
 
 
 
 
 
 5a Questão (Ref.: 201409170142) Fórum de Dúvidas (4) Saiba (1) 
 
Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua 
origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? 
 
 Interna e Oculta 
 Conhecida e Externa 
 Secreta e Oculta 
 Secreta e Externa 
 Interna e Externa 
 
 
 
 
 
 6a Questão (Ref.: 201409170621) Fórum de Dúvidas (4) Saiba (1) 
 
Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos 
diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma 
ameaça¿. Podemos dizer que é: 
 
 falsa, pois não depende do ativo afetado. 
 falsa, pois os impactos são sempre iguais para ameaças diferentes. 
 parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. 
 falsa, pois não devemos considerar que diferentes ameaças existem . 
 verdadeira 
 
 
 
 
 
 7a Questão (Ref.: 201409170152) Fórum de Dúvidas (3 de 4) Saiba (1 de 1) 
 
As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus 
ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis 
classificações das ameaças quanto a sua intencionalidade? 
 
 Naturais, Involuntárias e Voluntarias. 
 Ocasionais, Involuntárias e Obrigatórias. 
 Naturais, Voluntarias e Vulneráveis. 
 Naturais, Involuntárias e Obrigatórias. 
 Naturais, Voluntarias e Obrigatórias. 
 
 
 
 
 
 8a Questão (Ref.: 201409170163) Fórum de Dúvidas (4) Saiba (1) 
 
Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? 
 
 Secreto 
 Ativo 
 Forte 
 Fraco 
 Passivo 
 1a Questão (Ref.: 201409170185) Fórum de Dúvidas (2 de 5) Saiba (1) 
 
João e Pedro são administrador de sistemas de uma importante empresa e estão instalando uma nova 
versão do sistema operacional Windows para máquinas servidoras. Durante a instalação Pedro percebeu 
que existem uma série de exemplos de códigos já prontos para serem executados, facilitando assim o 
trabalho de administração do sistema. Qual o tipo de ataque que pode acontecer nesta situação? 
 
 Fraggle 
 Phishing Scan 
 Dumpster Diving ou Trashing 
 Shrink Wrap Code 
 Smurf 
 
 Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201409170208) Fórum de Dúvidas (2 de 5) Saiba (1 de 1) 
 
Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual 
das opções abaixo Não representa um destes passos? 
 
 Levantamento das Informações 
 Divulgação do Ataque 
 Obtenção de Acesso 
 Exploração das Informações 
 Camuflagem das Evidências 
 
 
 
 
 
 3a Questão (Ref.: 201409170138) Fórum de Dúvidas (2 de 5) Saiba (1 de 1) 
 
Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? 
 
 Secreto 
 Ativo 
 Fraco 
 Passivo 
 Forte 
 
 
 
 
 
 4a Questão (Ref.: 201409170187) Fórum de Dúvidas (2 de 5) Saiba (1) 
 
Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para isso 
implementou um programa que que irá coletar informações pessoais e financeiros da vítima. Para obter 
sucesso no ataque, Antônio irá induzir o acesso a página fraudulenta através do envio de uma mensagem 
não solicitada. Neste caso estavamos nos referindo ao ataque do tipo 
 
 DDos 
 Source Routing 
 Phishing Scan 
 SQL Injection 
 Shrink wrap code 
 
 
 
 
 
 5a Questão (Ref.: 201409846097) Fórum de Dúvidas (2 de 5) Saiba (1) 
 
Pedro construiu um programa que permite que ele se conecte remotamente a um computador depois que 
o programa for instalado na máquina alvo. Neste caso podemos afirmar que Pedro construiu um: 
 
 Trojan 
 Keylogger 
 Screenlogger 
 Backdoor 
 Worm 
 
 Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201409170205) Fórum de Dúvidas (2 de 5) Saiba (1) 
 
Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas 
servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga 
ao invés da invasão? 
 
 DDos 
 SQL Injection 
 Shrink wrap code 
 Source Routing 
 Phishing Scan 
 
 
 
 
 
 7a Questão (Ref.: 201409811476) Fórum de Dúvidas (2 de 5) Saiba (1) 
 
Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Ocorre na 
camada de transporte do modelo OSI. É realizado um mapeamento das portas do protocolos TCP e UDP 
abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em 
cada porta. Qual seria este ataque: 
 
 Fraggle. 
 Ip Spoofing. 
 Packet Sniffing. 
 Syn Flooding. 
 Port Scanning. 
 
 Gabarito Comentado 
 
 
 
 
 8a Questão (Ref.: 201409811485) Fórum de Dúvidas (2 de 5) Saiba (1) 
 
Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Consiste na 
verificação do lixo em busca de informaçõesque possam facilitar o ataque. É uma técnica eficiente e muito 
utilizada e que pode ser considerada legal visto que não existem leis a respeito dos lixos. Neste caso é 
interessante que as informações críticas da organização (planilhas de custos, senhas e outros dados 
importantes) sejam triturados ou destruídos de alguma forma. Qual seria este ataque: 
 
 Syn Flooding. 
 Port Scanning. 
 Dumpster diving ou trashing. 
 Packet Sniffing. 
 
Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: 
 
 Melhorar a efetividade das decisões para controlar os riscos 
 Entender os riscos associados ao negócio e a gestão da informação 
 Melhorar a eficácia no controle de riscos 
 Manter a reputação e imagem da organização 
 Eliminar os riscos completamente e não precisar mais tratá-los 
 
 Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201409170231) Fórum de Dúvidas (4) Saiba (1) 
 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são 
utilizados termos numéricos para os componentes associados ao risco. 
 
 Método Exploratório. 
 Método Classificatório 
 Método Numérico. 
 Método Quantitativo 
 Método Qualitativo 
 
 
 
 
 
 3a Questão (Ref.: 201409170228) Fórum de Dúvidas (4) Saiba (1) 
 
Qual das opções abaixo descreve melhor o conceito de "Risco" quando relacionado com a Segurança da 
Informação: 
 
 Probabilidade de um incidente ocorrer mais vezes. 
 Probabilidade de uma ameaça explorar um incidente. 
 Probabilidade de um ativo explorar uma ameaça. 
 Probabilidade de um ativo explorar uma vulnerabilidade 
 Probabilidade de uma ameaça explorar uma vulnerabilidade 
 
 
 
 
 
 4a Questão (Ref.: 201409170234) Fórum de Dúvidas (2 de 4) Saiba (1) 
 
Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da 
Informação: 
 
 Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos 
 Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos 
 Tudo aquilo que tem origem para causar algum tipo de erro nos ativos 
 Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos 
 Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. 
 
 
 
 
 
 5a Questão (Ref.: 201409170227) Fórum de Dúvidas (2 de 4) Saiba (1) 
 
Qual das opções abaixo não representa uma das etapas da Gestão de Risco: 
 
 Selecionar, implementar e operar controles para tratar os riscos. 
 Identificar e avaliar os riscos. 
 Manter e melhorar os riscos identificados nos ativos 
 Verificar e analisar criticamente os riscos. 
 Manter e melhorar os controles 
 
 Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201409170221) Fórum de Dúvidas (2 de 4) Saiba (1) 
 
É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o 
processo em geral e a definição do contexto em particular. Qual das opções abaixo Não representa um 
destes propósitos? 
 
 Preparação de um plano de continuidade de negócios. 
 Conformidade Legal e a evidência da realização dos procedimentos corretos 
 Descrição dos requisitos de segurança da informação para um produto. 
 Preparação de um plano para aceitar todos os Riscos 
 Preparação de um plano de respostas a incidentes. 
 
 Gabarito Comentado 
 
 
 
 
 7a Questão (Ref.: 201409702792) Fórum de Dúvidas (4) Saiba (1) 
 
Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de 
obter informações pessoais de usuários de sites da Internet ou site corporativo ? 
 
 Backdoor 
 Defacement 
 Phishing 
 Rootkit 
 Spyware 
 
 
 
 
 
 8a Questão (Ref.: 201409702787) Fórum de Dúvidas (4) Saiba (1) 
 
Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no momento da descoberta ? 
 
 Spam 
 Rootkit 
 Adware 
 Backdoor 
 0day 
 
 
Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de 
informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e 
maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três 
princípios básicos: 
 
 Prevenção, proteção e reação 
 Integridade, prevenção e proteção 
 Integridade, confidencialidade e disponibilidade 
 Flexibilidade, agilidade e conformidade 
 Autenticidade, originalidade e abrangência 
 
 
 
 
 
 2a Questão (Ref.: 201409851991) Fórum de Dúvidas (1 de 2) Saiba (0) 
 
Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: 
 
 A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um 
risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. 
 Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias 
principais de segurança e uma seção introdutória que aborda a questões de contingência. 
 Um incidente de segurança da informação é indicado por um evento de segurança da informação 
esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar 
a segurança da informação. 
 Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um 
Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os 
quais toda a família está baseada e se integra. 
 Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para 
atender aos requisitos identificados exclusivamente por meio da classificação das informações. 
 
 
 
 
 
 3a Questão (Ref.: 201409376767) Fórum de Dúvidas (1 de 2) Saiba (0) 
 
A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem 
avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, 
implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a 
Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos 
levando-se em conta os objetivos e _________________ globais da organização são identificadas as 
ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ____________ 
e do impacto potencial ao negócio. 
 
 determinações, ações 
 oportunidades, ações 
 especulações, ameaças 
 oportunidades, vulnerabilidades 
 estratégias, ameaças 
 
 
 
 
 
 4a Questão (Ref.: 201409257886) Fórum de Dúvidas (1 de 2) Saiba (0) 
 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
 
 Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
 
 
 
 
 5a Questão (Ref.: 201409680300) Fórum de Dúvidas (1 de 2) Saiba (0) 
 
Segundo osfundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 
1) Comitê de segurança da informação. 
2) Controle. 
3) Funções de software e hardware. 
4) Deve ser analisado criticamente. 
5) Política. 
( ) Controle. 
( ) Firewall. 
( ) estrutura organizacional. 
( ) Permissão de acesso a um servidor. 
( ) Ampla divulgação das normas de segurança da informação. 
A combinação correta entre as duas colunas é: 
 
 1-2-4-3-5. 
 4-3-1-2-5. 
 5-1-4-3-2. 
 4-3-5-2-1. 
 2-3-1-5-4. 
 
 Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201409257892) Fórum de Dúvidas (1 de 2) Saiba (0) 
 
Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a 
organização certificada: 
 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões e 
melhores práticas de segurança reconhecidas no mercado. 
 implementou um sistema para gerência da segurança da informação de acordo fundamentado nos 
desejos de segurança dos Gerentes de TI. 
 implementou um sistema para gerência da segurança da informação de acordo com os desejos de 
segurança dos funcionários e padrões comerciais. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões 
nacionais das empresas de TI. 
 
 Gabarito Comentado 
 
 
 
 
 7a Questão (Ref.: 201409170577) Fórum de Dúvidas (1 de 2) Saiba (0) 
 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
 
 Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
 Gabarito Comentado 
 
 
 
 
 8a Questão (Ref.: 201409170573) Fórum de Dúvidas (2) Saiba (0) 
 
A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos 
e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está 
fazendo referencia a que tipo de ação de Segurança: 
 
 Segurança em Recursos Humanos. 
 Gerenciamento das Operações e Comunicações. 
 Controle de Acesso. 
 Segurança dos Ativos. 
 Segurança Física e do Ambiente. 
 
Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os 
recursos necessários para: 
 
 Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. 
 Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores. 
 Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem 
causar aos ativos. 
 Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 
 Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. 
 
 Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201409170604) Fórum de Dúvidas (1 de 3) Saiba (1) 
 
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a 
organização certificada: 
 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões e 
melhores práticas de segurança reconhecidas no mercado 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões 
nacionais das empresas de TI. 
 implementou um sistema para gerência da segurança da informação de acordo fundamentado nos 
desejos de segurança dos Gerentes de TI. 
 implementou um sistema para gerência da segurança da informação de acordo com os desejos de 
segurança dos funcionários e padrões comerciais. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
 
 
 
 
 
 3a Questão (Ref.: 201409734638) Fórum de Dúvidas (3) Saiba (1) 
 
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que 
deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter 
e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 
 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as 
organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles 
considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as 
evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente 
definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se 
necessário. 
 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: 
 
 I e III. 
 II e III. 
 III e IV. 
 II. 
 I e II. 
 
 Gabarito Comentado 
 
 
 
 
 4a Questão (Ref.: 201409170608) Fórum de Dúvidas (1 de 3) Saiba (1) 
 
No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um 
Problema de Segurança: 
 
 Uma inundação. 
 Uma tempestade. 
 A perda de qualquer aspecto de segurança importante para a organização. 
 Uma Operação Incorreta ou Erro do usuário. 
 Restrição Financeira. 
 
 
 
 
 
 5a Questão (Ref.: 201409377128) Fórum de Dúvidas (3) Saiba (1) 
 
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com 
o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua 
gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do 
SGSI. Podemos dizer que uma das características da fase "Plan" é: 
 
 O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, 
ativos e tecnologia. 
 A organização deve implementar e operar a política, controles, processos e procedimentos do 
SGSI, buscando não burocratizar o funcionamento das áreas. 
 A organização deve implementar procedimentos de monitoração e análise crítica para detectar 
erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-
sucedida, e os incidente de segurança da informação. 
 Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os 
resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições 
e sugestões. 
 Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão 
apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os 
recursos do SGSI. 
 
 Gabarito Comentado 
 
 
 
 
 6a Questão(Ref.: 201409170579) Fórum de Dúvidas (3) Saiba (1) 
 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise 
dos eventos monitorados e através de ações: 
 
 Corrigidas e Preventivas. 
 Prevenção e Preventivas. 
 Corretivas e Correção. 
 Corretivas e Corrigidas. 
 Corretivas e Preventivas. 
 
 
 
 
 
 7a Questão (Ref.: 201409346139) Fórum de Dúvidas (1 de 3) Saiba (1) 
 
Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A 
segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de 
Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de 
gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um 
nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para 
estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve 
inicialmente definir: 
 
 Identificar e avaliar as opções para o tratamento das vulnerabilidades. 
 A política do BIA. 
 A abordagem de análise/avaliação das vulnerabilidades da organização. 
 A politica de gestão de continuidade de negócio. 
 Identificar, Analisar e avaliar os riscos. 
 
 
 
 
 
 8a Questão (Ref.: 201409257887) Fórum de Dúvidas (1 de 3) Saiba (1) 
 
A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua 
pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções 
abaixo Não poderá ser considerada como um elemento para a realização desta análise: 
 
 Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco 
anteriores 
 A avaliação dos riscos e incidentes desejados 
 Os resultados das auditorias anteriores e análises críticas 
 A realimentação por parte dos envolvidos no SGSI 
 A avaliação das ações preventivas e corretivas 
 
 
A gestão de continuidade de negócio envolve prioritariamente os seguintes processos: 
 
 Investigação e diagnóstico; resolução de problemas; recuperação 
 Plano de redundância; análise de risco; planejamento de capacidade 
 Gestão de configuração; planejamento de capacidade; gestão de mudança 
 Análise de impacto no negócio; avaliação de risco; plano de contingência 
 Tratamento de incidentes; solução de problemas; acordo de nível de operação 
 
 
 
 
 
 2a Questão (Ref.: 201409250892) Fórum de Dúvidas (0) Saiba (0) 
 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. 
Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise 
a opção que melhor retrata a estratégia a ser definida: 
 
 A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de 
incidentes e seus efeitos. 
 A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade 
de ocorrência de incidentes e seus efeitos. 
 A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de 
incidentes e seus efeitos. 
 A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de 
incidentes e seus efeitos. 
 A organização deve implementar medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
 
 
 
 
 
 3a Questão (Ref.: 201409250888) Fórum de Dúvidas (0) Saiba (0) 
 
Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. 
Qual das opções abaixo não está em conformidade com as orientações da norma citada? 
 
 Comunicar-se com as partes interessadas 
 Tomar controle da situação 
 Controlar o incidente 
 Afastar o incidente do cliente 
 Confirmar a natureza e extensão do incidente 
 
 Gabarito Comentado 
 
 
 
 
 4a Questão (Ref.: 201409680339) Fórum de Dúvidas (0) Saiba (0) 
 
De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de 
continuidade do negócio (GCN). 
 
 GCN é a fase inicial da implantação da gestão de continuidade em uma organização. 
 GCN é uma abordagem alternativa à gestão de riscos de segurança da informação. 
 A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a 
incidentes, de continuidade e de comunicação. 
 A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de 
interrupção das atividades críticas da organização. 
 A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços 
e(ou) atividades críticas e recursos de suporte de uma organização. 
 
 Gabarito Comentado 
 
 
 
 
 5a Questão (Ref.: 201409173373) Fórum de Dúvidas (0) Saiba (0) 
 
Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha 
como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de 
segurança? 
 
 Autenticidade; 
 Integridade; 
 Confidencialidade; 
 Auditoria; 
 Não-Repúdio; 
 
 Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201409250898) Fórum de Dúvidas (0) Saiba (0) 
 
Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto 
da organização para garantir que: 
 
 As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas 
 As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas 
 As metas e objetivos definidos sejam comprometidos por interrupções inesperadas 
 As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas 
 As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas 
 
 
 
 
 
 7a Questão (Ref.: 201409173379) Fórum de Dúvidas (0) Saiba (0) 
 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que 
trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo 
possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na 
segurança da informação relacionada à: 
 
 Confidencialidade; 
 Autenticidade; 
 Integridade; 
 Auditoria; 
 Não-Repúdio; 
 
 
 
 
 
 8a Questão (Ref.: 201409687918) Fórum de Dúvidas (0) Saiba (0) 
 
Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação 
de Desastres (PRD)? 
 
 O PRD é mais abrangente que o PCN. 
 O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o 
PCN foca-se na continuidade para todos os processos. 
 O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à 
reparação dos danos causados. 
 O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre 
somente os ativos de informação. 
 O PCN só pode ser implementado se o PRD já tiver em uso. 
 
Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser 
classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar 
a conexão ou não a um serviço em uma rede modo indireto ? 
 
 Firewall com Estado 
 Firewall de Borda 
 Firewall ProxyFirewall Indireto 
 Filtro com Pacotes 
 
 
 
 
 
 2a Questão (Ref.: 201409346152) Fórum de Dúvidas (1) Saiba (1) 
 
Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de 
controle da rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre 
essa rede e a internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados. 
 
 Adware. 
 Mailing. 
 Spyware. 
 Antivírus. 
 Firewall. 
 
 
 
 
 
 3a Questão (Ref.: 201409356453) Fórum de Dúvidas (1) Saiba (1) 
 
Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente físico e, até 
mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de contingência que melhor 
conduza o objeto a operar sob um nível de risco controlado. Nas estratégias de contingência possíveis de 
implementação, qual a estratégia que está pronta para entrar em operação assim que uma situação de risco 
ocorrer? 
 
 Hot-site 
 Realocação de operação 
 Cold-site 
 Warm-site 
 Acordo de reciprocidade 
 
 Gabarito Comentado 
 
 
 
 
 4a Questão (Ref.: 201409202554) Fórum de Dúvidas (1) Saiba (1) 
 
Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de 
chaves assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade certificadora 
confiável. Uma mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 
1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 
3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições 
anteriores. 
A mensagem de Ana para Bernardo deve ser assinada 
 
 com a chave pública de Ana e criptografada com a chave privada de Bernardo. 
 e criptografada com a chave pública de Ana. 
 e criptografada com a chave privada de Bernardo. 
 com a chave privada de Bernardo e criptografada com a chave pública de Ana. 
 com a chave privada de Ana e criptografada com a chave pública de Bernardo. 
 
 Gabarito Comentado 
 
 
 
 
 5a Questão (Ref.: 201409202549) Fórum de Dúvidas (1) Saiba (1) 
 
O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de: 
 
 controlar a expiração da sessão do usuário, caso o mesmo possua cookies desabilitados em seu 
navegador. 
 confirmar que o formulário está sendo preenchido por um usuário humano e não por um 
computador. 
 testar a aptidão visual do usuário para decidir sobre a folha de estilo CSS a ser utilizada nas páginas 
subseqüentes. 
 criptografar os dados enviados através do formulário para impedir que os mesmos sejam 
interceptados em curso. 
 confirmar a identidade do usuário. 
 
 
 
 
 
 6a Questão (Ref.: 201409852011) Fórum de Dúvidas (1) Saiba (1) 
 
O fato de se poder conectar qualquer computador em qualquer lugar a qualquer outro computador pode 
torná- lo vulnerável. O recurso técnico para proteger essa conexão de dados é através de: 
 
 PKI 
 Certificação digital 
 Firewall 
 Esteganografia 
 Proxy 
 
 Gabarito Comentado 
 
 
 
 
 7a Questão (Ref.: 201409250906) Fórum de Dúvidas (1) Saiba (1) 
 
Você trabalha na área de administração de rede e para aumentar as medidas de segurança já 
implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo 
que os hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar : 
 
 Um firewall com estado 
 Um detector de intrusão 
 Um servidor proxy 
 Um roteador de borda 
 Um filtro de pacotes 
 
 
 
 
 
 8a Questão (Ref.: 201409250907) Fórum de Dúvidas (1) Saiba (1) 
 
Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um 
comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns 
servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está 
ocorrendo no tráfego da rede. Neste caso você irá utilizar: 
 
 Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede 
 Um detector de intrusão para realizar a análise do tráfego da rede 
 Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall 
 Um sniffer de rede, para analisar o tráfego da rede 
 Um analisador de protocolo para auxiliar na análise do tráfego da rede