GESTÃO DE SEGURANÇA AULAS 01 10

Prévia do material em texto

GESTÃO DE SEGURANÇA AULA 01 
 
1. 
 
 
A demanda gradual por armazenamento de conhecimento tem levado à necessidade de 
administração desses dados de forma confiável. Qual das opções abaixo representa 
melhor a sequencia na evolução do tratamento dos Dados para a sua utilização eficaz nas 
organizações? 
 
 
 
 
Dado - Informação – Conhecimento 
 
 
2. 
 
 
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas 
revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a 
forma como a tecnologia da informação apoia as operações das empresas e as atividades 
de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como 
razão fundamental para as aplicações de tecnologia da informação nas empresas? 
 
 
 
 
Apoio ao uso da Internet e do ambiente wireless 
 
 
3. 
 
 
Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e 
que possam impactar no estudo e implementação de um processo de gestão de segurança 
em uma organização? 
 
 
 
 
Insegurança 
 
 
4. 
 
 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das 
opções abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" 
dentro das empresas e organizações? 
 
 
 
 
Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; 
 
 
5. 
 
 
Trata-se de "[...] uma sequência de símbolos quantificados ou quantificáveis. [...]" 
Também são ______ fotos, figuras, sons gravados e animação. Tal conceito refere-se a: 
 
 
 
 
Dado 
 
 
6. 
 
 
Considere um sistema no qual existe um conjunto de informações disponível para um 
determinado grupo de usuários denominados “engenheiros”. Após várias consultas com 
respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao 
grupo “engenheiros” acessa o sistema em busca de uma informação já acessada 
anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança 
da informação para este sistema na propriedade relacionada à: 
 
 
 
 
Disponibilidade 
 
 
7. 
 
 
Em uma organização existem diversos tipos de ativos que podem ser organizados e 
classificados através de diversas propriedade e que permitem a organização destes ativos 
em grupos com características semelhantes no que diz respeito às necessidades, 
estratégias e ferramentas de proteção. Qual das opções abaixo define a classificação dos 
tipos de ativos? 
 
 
 
 
Tangível e Intangível. 
 
 
8. 
 
 
Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas 
trabalham e a forma como a tecnologia da informação apoia as operações e processos das 
empresas, qual das opções abaixo poderá ser escolhida como sendo aquela que possui os 
elementos fortemente responsáveis por este processo? 
 
 
 
 
O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; 
 
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 
 
1. 
 
 
Segundo os princípios da Segurança da Informação, qual das opções abaixo representa 
melhor o conceito de Ativo de Informação? 
 
 
 
 
São aqueles que produzem, processam, transmitem ou armazenam informações. 
 
 
2. 
 
 
Considere um sistema no qual existe um conjunto de informações disponível para um 
determinado grupo de usuários denominados “auditores”. Após várias consultas com 
respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao 
grupo “auditores” acessa o sistema em busca de uma informação já acessada 
anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança 
da informação para este sistema na propriedade relacionada à: 
 
 
 
 
Disponibilidade; 
 
 
3. 
 
 
Um fator importante em um processo de classificação da informação é o nível de ameaça 
conhecido que cada informação tem. Quando uma informação é classificada como pública, 
podendo ser utilizada por todos sem causar danos à organização, podemos afirmar que ela 
possui qual nível de segurança? 
 
 
 
 
Irrestrito. 
 
 
4. 
 
 
As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais 
diversas áreas de uma organização, a todo instante os negócios, seus processo e ativos 
físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual 
das opções abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança 
da Informação? 
 
 
 
 
Fragilidade presente ou associada a ativos que manipulam ou processam informações. 
 
 
5. 
 
 
Considere um sistema no qual existe um conjunto de informações disponível para um 
determinado grupo de usuários denominados “auditores”. Um usuário de um outro grupo, 
o grupo “estudante”, tenta acessar o sistema em busca de uma informação que somente o 
grupo “auditores” tem acesso e consegue. Neste caso houve uma falha na segurança da 
informação para este sistema na propriedade relacionada à: 
 
 
 
 
Confidencialidade; 
 
 
6. 
 
 
A informação também possui seu conceito de valor e que está associado a um contexto, 
podendo gerar lucros ou ser alavancadora de vantagem competitiva e até mesmo possuir 
pouco ou nenhum valor. Qual das opções abaixo apresenta os quatro aspectos 
importantes para a classificação das informações? 
 
 
 
 
Confidencialidade, integridade, disponibilidade e valor. 
 
 
7. 
 
 
Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se 
concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo 
assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na 
organização são consideradas: 
 
 
 
 
Medidas Preventivas 
 
 
8. 
 
 
Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como 
o banco pode garantir-se de que, posteriormente, João venha a afirmar que não foi ele 
quem fez o acesso? Neste caso estamos falando de: 
 
 
 
 
Não-repúdio 
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 
 
 
 
1. 
 
 
Considere um sistema no qual existe um conjunto de informações disponível para um 
determinado grupo de usuários denominados "engenheiros". Após várias consultas com 
respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao 
grupo "engenheiros" acessa o sistema em busca de uma informação já acessada 
anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança 
da informação para este sistema na propriedade relacionada à: 
 
 
 
 
Disponibilidade 
 
 
 
2. 
 
 
O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste 
contexto o que chamamos de um possível evento que pode ter um efeito perturbador 
sobre a confiabilidade da informação? 
 
 
 
 
Ameaça 
 
 
3. 
 
 
Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São 
Paulo. Nesse ataque os hackers direcionavam os usuários que acessavam o site do banco 
Bradesco para uma página falsa e roubavam os dados e as senhas destes usuários. O site 
teve um problema nos servidores de DNS, que traduziram o endereço do Bradesco como 
sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os dados 
e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? 
 
 
 
 
Vulnerabilidade de Software 
 
 
4. 
 
 
As contas do Gmail de jornalistasestrangeiros de pelo menos duas agências de notícias 
que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma 
associação de profissionais de imprensa que atuam na China. A notícia chega uma semana 
após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas 
de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram 
utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as 
mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este 
ataque? 
 
 
 
 
Vulnerabilidade de Software 
 
 
5. 
 
 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da 
informação, de acordo com a ABNT NBR ISO/IEC 27005. 
 
 
 
 
O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de 
risco. 
 
 
6. 
 
 
Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site 
posteriormente ficou fora do ar, antes foi deixada uma mensagem informando: "Este mês, 
o governo vivenciará o maior número de ataques de natureza virtual na sua história feito 
pelo fail shell". Foi um ataque orquestrado, não só para este site, mas para varias 
instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso 
no caso foi utilizado um Denial-of service. O banco de dados IBGE não foi afetado, o portal 
é mais informativo, não comprometendo aos dados internos e críticos que não devem ser 
divulgados. Qual você acha que foi a vulnerabilidade para este ataque? 
 
 
 
 
Vulnerabilidade Software 
 
 
7. 
 
 
Em setembro de 2012, o sistema militar que controla armas nucleares, localizado na Casa 
Branca. Os Hackers invadiram através de servidores localizados na China. Neste ataque foi 
utilizada a técnica conhecida como spear-phishing, que é um ataque muito utilizado, e que 
consiste em enviar informações que confundam o usuário e o mesmo execute um código 
malicioso. Essa técnica geralmente ocorre através de envio de e-mails falsos, porém com 
aparência de confiáveis. Qual você acha que foi o tipo de vulnerabilidade utilizada neste 
caso? 
 
 
 
 
Vulnerabilidade Humana. 
 
 
8. 
 
A empresa de segurança cibernética IntelCrawler descobriu no dia 17 de janeiro de 2014 
ao menos seis ataques em andamento contra varejistas nos Estados Unidos cujos 
 
 
 
sistemas de cartão de crédito estão infectados com o mesmo tipo de software malicioso 
usado para roubar dados de cerca de 40 milhões de cartões de crédito da rede Target. O 
software malicioso que foi usado para tal feito foi o BlackPOS. Qual você acha que foi o 
tipo de vulnerabilidade utilizada neste caso? 
 
 
Vulnerabilidade Software. 
 
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 
 
1. 
 
 
Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código 
malicioso ou Malware? 
 
 
 
 
active-x 
 
 
2. 
 
 
Um programa ou parte de um programa de computador, normalmente malicioso, que se 
propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros 
programas e arquivos de um computador pode ser descrito como sendo um: 
 
 
 
 
vírus 
 
 
3. 
 
 
Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é 
digitado pelo teclado do usuário e é enviado para o invasor? 
 
 
 
 
Keylogger 
 
 
4. 
 
 
As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, 
ladrões etc. poderão ser classificadas como: 
 
 
 
 
Voluntárias 
 
 
5. 
 
Alguns conceitos relacionados à segurança da informação estão 
disponibilizados na Coluna I. Faça a correta correspondência com seus 
significados dispostos na Coluna II. 
 
Coluna I 
 
1. Spyware 
2. Adware 
3. Engenharia Social 
4. Backdoor 
5. Phishing 
 
Coluna II 
 
(5) Técnica que visa enganar um usuário induzindo-o a clicar em um link que 
 
 
 
o levará a uma página clonada ou a um arquivo malicioso. 
(2) Software que insere propagandas em outros programas. 
(4) Brecha inserida pelo próprio programador de um sistema para uma 
invasão. 
(3) Técnica utilizada para obter informações preciosas com base em uma 
relação de confiança. 
(1) Programa espião. 
 
 
A sequência correta é: 
 
 
5, 2, 4, 3, 1. 
 
 
6. 
 
 
Analise as seguintes afirmativas sobre ameaças à Segurança da Informação: 
 
I. Cavalo de Troia é um programa que contém código malicioso e se passa por um 
programa desejado pelo usuário, com o objetivo de obter dados não autorizados do 
usuário. 
 
II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se 
propagar de um computador para outro. 
 
III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando 
endereços de remetentes falsos. 
 
Estão CORRETAS as afirmativas: 
 
 
 
 
I, II e III. 
 
7. 
 
 
Com relação às ameaças ao sistema de informação, assinale a opção correta: 
 
 
 
 
Backdoor é um programa que permite o acesso de uma máquina a um invasor de 
computador, pois assegura a acessibilidade a essa máquina em modo remoto, sem utilizar, 
novamente, os métodos de realização da invasão. 
 
 
8. 
 
 
A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual de 
hackers, mas na verdade estas pessoas têm amplo conhecimento de programação e 
noções de rede e internet, não desenvolvem vulnerabilidades e não tem intenção de 
roubar informações, estes na verdade são os crackers que invadem sistemas em rede ou 
computadores para obter vantagens muitas vezes financeiras. Verifique nas sentenças 
abaixo as que estão corretas em relação à descrição dos potenciais atacantes: I - 
Wannabes ou script kiddies São aqueles que acham que sabem, dizem para todos que 
sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de 
scripts conhecidos. II- Defacers Pessoa que Interferem com o curso normal das centrais 
telefônicas, realizam chamadas sem ser detectados ou realizam chamadas sem tarifação. 
III- Pheakres São organizados em grupo usam seus conhecimentos para invadir servidores 
que possuam páginas web e modificá-las. 
 
 
 
 
Apenas a sentença I está correta. 
 
Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 
 
1. 
 
 
Recente pesquisa realizada pela ESET no País identificou que 73% das 
corporações consultadas foram vítimas de algum incidente relacionado à 
segurança da informação nos últimos meses, o que sugere falhas nas políticas 
e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo 
em que exige uma reflexão urgente dos gestores. Todo ataque segue de 
alguma forma uma receita nossa conhecida. Qual seria a melhor forma de 
definir a fase de "Manutenção do acesso" nesta receita: 
 
 
 
 
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá 
também protegê-lo de outros atacantes através da utilização de ¿acessos 
exclusivos¿ obtidos através de rootkits, backdoors ou trojans. 
 
 
2. 
 
 
Qual das opções abaixo descreve um tipo de ataque que normalmente tem 
como objetivo atingir máquinas servidoras da WEB de forma a tornar as 
páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés 
da invasão? 
 
 
 
 
DDos 
 
 
3. 
 
 
Após o crescimento do uso de sistemas de informação, comércio eletrônico e 
tecnologia digital as empresas se viram obrigadas a pensar nasegurança de 
suas informações para evitar ameaças e golpes. Assim, a segurança da 
informação surgiu para reduzir possíveis ataques aos sistemas empresariais e 
domésticos. Resumindo, a segurança da informação é uma maneira de 
proteger os sistemas de informação contra diversos ataques, ou seja, 
mantendo documentações e arquivos. Podemos citar como itens básicos, 
reconhecidos, de um ataque a sistemas de informação: 
 
 
 
 
Levantamento das informações, Exploração das informações e Obtenção do 
acesso. 
 
 
4. 
 
 
Um dos principais tipos de ataques à Segurança das informações funciona da 
seguinte forma: O ataque explora a metodologia de estabelecimento de 
conexões do protocolo TCP, baseado no three-way-handshake. Desta 
forma um grande número de requisições de conexão (pacotes SYN) é 
enviado, de tal maneira que o servidor não seja capaz de responder a todas 
elas. A pilha de memória sofre então um overflow e as requisições de 
conexões de usuários legítimos são desta forma, desprezadas, prejudicando a 
disponibilidade do sistema. Qual seria este ataque: 
 
 
 
 
Syn Flooding. 
 
 
5. 
 
 
Qual o nome do código malicioso que tem o intuito de após uma invasão, 
permitir posteriormente o acesso à máquina invadida para o atacante? 
 
 
 
 
Backdoor 
 
 
6. 
 
Existem diferentes caminhos que um atacante pode seguir para obter acesso 
ao sistema. Normalmente o atacante irá explorar uma vulnerabilidade ou 
 
 
 
fraqueza do sistema. O ataque que tem como objetivo a verificação do lixo 
em busca de informações que possam facilitar o ataque é denominado: 
 
 
Dumpster diving ou trashing 
 
 
7. 
 
 
Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de 
identidade e que ocorre de várias maneiras, principalmente por e-mail, 
mensagem instantânea, SMS, dentre outros, e, geralmente, começa com uma 
mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, 
como um banco, uma empresa de cartão de crédito ou um site de comércio 
eletrônico. 
 
 
 
 
Phishing. 
 
 
8. 
 
 
Um dos principais tipos de ataques à Segurança das informações funciona da 
seguinte forma: Ocorre na camada de transporte do modelo OSI. É realizado 
um mapeamento das portas dos protocolos TCP e UDP abertas em um 
determinado host, e partir daí, o atacante poderá deduzir quais os serviços 
estão ativos em cada porta. Qual seria este ataque: 
 
 
 
 
Port Scanning. 
 
Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 
1. 
 
 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos 
na área de infraestrutura, pretende instalar algumas câmeras de vídeo, além da colocação 
de avisos sobre a existência de alarmes. Neste caso que tipo de barreira você está 
implementando? 
 
 
 
 
Desencorajar 
 
 
2. 
 
 
Qual o nome do processo malicioso que tem o intuito de infectar uma ou várias máquinas 
e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do 
atacante? 
 
 
 
 
Bot/Botnet 
 
 
3. 
 
 
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma 
barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, 
lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira 
"Detectar": 
 
 
 
 
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem, alertem e 
instrumentem os gestores da segurança na detecção de situações de risco. 
 
 
4. 
 
 
Qual das opções abaixo representa o tipo de ação quando observamos que o custo de 
proteção contra um determinado risco não vale a pena ser aplicado: 
 
 
 
 
Aceitação do Risco 
 
 
5. 
 
 
Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no momento da 
descoberta? 
 
 
 
 
0day 
 
 
6. 
 
 
Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro 
com o intuito de obter informações pessoais de usuários de sites da Internet ou site 
corporativo? 
 
 
 
 
Phishing 
 
 
7. 
 
 
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma 
barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, 
lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira 
"Deter": 
 
 
 
 
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam 
o negócio. 
 
 
8. 
 
 
Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a 
Segurança da Informação: 
 
 
 
 
Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos 
 
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 
1. 
 
 
Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger 
os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos 
negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a 
segurança da informação pode ser caracterizada por três princípios básicos: 
 
 
 
 
Integridade, confidencialidade e disponibilidade 
 
 
2. 
 
Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe 
as colunas. 
1) Comitê de segurança da informação. 
2) Controle. 
3) Funções de software e hardware. 
4) Deve ser analisado criticamente. 
5) Política. 
 
 
 
( ) Controle. 
( ) Firewall. 
( ) estrutura organizacional. 
( ) Permissão de acesso a um servidor. 
( ) Ampla divulgação das normas de segurança da informação. 
A combinação correta entre as duas colunas é: 
 
 
4-3-1-2-5. 
 
 
3. 
 
 
Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, 
também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está 
utilizado qual propriedade de segurança? 
 
 
 
 
Autenticidade; 
 
 
4. 
 
 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos 
regulares? 
 
 
 
 
Para determinar se os objetivos de controle, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
 
5. 
 
 
Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de 
garantir que a organização certificada: 
 
 
 
 
implementou um sistema para gerência da segurança da informação de acordo com os 
padrões e melhores práticas de segurança reconhecidas no mercado. 
 
 
6. 
 
 
Quando devem ser executadas as ações corretivas? 
 
 
 
 
Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do 
SGSI de forma a evitar a sua repetição 
 
 
7. 
 
 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos 
regulares? 
 
 
 
 
Para determinar se os objetivos de controle, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
 
8. 
 
 
A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança 
da informação. De acordo com a Norma, parte importante do processo do estabelecimento 
da segurança é a realização do inventário dos diversos tipos de ativos para as suas 
devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do 
tipo intangível é 
 
 
 
 
A reputação da organização 
Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1. 
 
 
A organização deve analisar criticamente seu SGSI em intervalos planejados para 
assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou 
necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um 
elemento para a realização desta análise: 
 
 
 
 
A avaliação dos riscos e incidentes desejados 
 
 
2. 
 
 
A empresa XPTO optou como forma de complementar seu projeto de Segurança da 
Informação, a instalação de câmeras de vídeo, sendo algumas falsas, e a utilização de 
avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo 
utilizada? 
 
 
 
 
Desencorajamento 
 
 
3. 
 
 
No contexto da Segurança da Informação, qual das opções abaixo não pode ser 
considerada como um Problema de Segurança: 
 
 
 
 
Restrição Financeira. 
 
 
4. 
 
 
O SGSI torna-se pré-requisito a ser implementado em ambientes corporativos, 
educacionais, industriais, governamentais e qualquer outro que tenha por objetivo 
resguardar ambientes que criam, manipulam ou destroem informações relevantes. O 
sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada 
negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, 
mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de 
apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve 
implementar na etapa Do: 
 
 
 
 
A organização deve implementar e operar a política, controles, processos e procedimentos 
do SGSI, buscando não burocratizar o funcionamento das áreas. 
 
 
5. 
 
 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. 
Estas ações ocorrem através: do uso da política de segurança, dos objetivos de 
segurança, resultados de auditorias, da análise dos eventos monitorados e através de 
ações: 
 
 
 
 
Corretivas e Preventivas. 
 
 
6. 
 
 
Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de 
segurança da informação? 
 
 
 
 
Conscientização dos usuários. 
 
 
7. 
 
 
Sobre a afirmação: ¿irá definir que a informação é originária de quem diz originar, de 
forma a impedir que alterações na mensagem original confundam as partes envolvidas na 
comunicação. E, mesmo que haja alguma alteração na mensagem original, que seja 
passível de ser detectada¿. Podemos afirmar que estamos conceituando: 
 
 
 
 
Integridade 
 
 
8. 
 
 
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de 
garantir que a organização certificada: 
 
 
 
 
implementou um sistema para gerência da segurança da informação de acordo com os 
padrões e melhores práticas de segurança reconhecidas no mercado 
 
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 
 
1. 
 
 
A gestão de continuidade de negócio envolve prioritariamente os seguintes processos: 
 
 
Análise de impacto no negócio; avaliação de risco; plano de contingência 
 
 
2. 
 
 
Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua 
senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de 
segurança? 
 
 
 
Autenticidade; 
 
 
3. 
 
 
De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de 
continuidade do negócio (GCN). 
 
 
 
A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, 
serviços e (ou) atividades críticas e recursos de suporte de uma organização. 
 
 
4. 
 
 
O Plano de Continuidade do Negócio.... 
 
 
prioriza e estabelece as ações de implantação como resultado de uma ampla análise de 
risco. 
 
 
5. 
 
 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. 
Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata 
as ações que você deve realizar: 
 
 
 
Levantar o grau de relevância dos processos ou atividades que compõe a entrega de 
produtos e serviços fundamentais para a organização. 
 
 
6. 
 
Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação 
 
de Desastres (PRD)? 
 
 
O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à 
reparação dos danos causados. 
 
 
7. 
 
 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que 
podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada 
organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: 
o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento 
"Entendendo a Organização"? 
 
 
 
Para o estabelecimento do programa de GCN é necessário entender a organização para 
definir a priorização dos produtos e serviços da organização e a urgência das atividades que 
são necessárias para fornecê-los. 
 
 
8. 
 
 
BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de 
Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma 
............................e........................... dos principais processos de negócios mapeados e entendidos na 
organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios, 
pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de 
Negócios. 
 
 
 
Qualitativa e Quantitativa 
 
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 
 
1. 
 
 
Analise as seguintes afirmações relacionadas à Segurança da Informação e os objetivos do 
controle de acesso: 
 
I. A disponibilidade é uma forma de controle de acesso que permite identificar os usuários 
legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado. 
 
II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não 
autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la 
indevidamente. 
 
III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra 
invasão de redes, que inspeciona uma rede de dentro para fora, identifica e avalia padrões 
suspeitos que podem identificar um ataque à rede e emite um alarme quando existe a 
suspeita de uma invasão. IV. A integridade é uma forma de controle de acesso que evita o 
acesso de pessoas não autorizadas a informações confidenciais, salvaguardando segredos 
de negócios e protegendo a privacidade de dados pessoais. 
 
Indique a opção que contenha todas as afirmações verdadeiras. 
 
 
 
 
I e III. 
 
 
2. 
 
 
Dentre as vantagens de utilização de normas, podemos destacar as seguintes, EXCETO: 
 
 
 
 
Compartilhamento de informações com os stakeholders 
 
 
3. 
 
 
Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um 
determinado ponto de controle da rede de computadores de uma empresa sendo sua 
função a de regular o tráfego de dados entre essa rede e a internet e impedir a 
transmissão e/ou recepção de acessos nocivos ou não autorizados. 
 
 
 
 
Firewall. 
 
 
4. 
 
 
Seja qual for o objeto da contingência: uma aplicação, um processo de negócio, um 
ambiente físico e, até mesmo uma equipe defuncionários, a empresa deverá selecionar a 
estratégia de contingência que melhor conduza o objeto a operar sob um nível de risco 
controlado. Nas estratégias de contingência possíveis de implementação, qual a estratégia 
que está pronta para entrar em operação assim que uma situação de risco ocorrer? 
 
 
 
 
Hot-site 
 
 
5. 
 
 
São exemplos de ativos associados a sistemas (pertinentes para a identificação de 
ameaças), exceto: 
 
 
 
 
Pessoas 
 
 
6. 
 
 
Você trabalha na área de administração de rede está percebendo que a rede tem 
apresentado um comportamento diferente do normal. Você desconfia que possam estar 
ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar 
o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá 
utilizar: 
 
 
 
 
Um detector de intrusão para realizar a análise do tráfego da rede 
 
 
7. 
 
 
Você trabalha na área de administração de rede e para aumentar as medidas de 
segurança já implementadas pretende controlar a conexão a serviços da rede de um modo 
indireto, ou seja, impedindo que os hosts internos se comuniquem diretamente com sites 
na Internet. Neste caso você optará por implementar: 
 
 
 
 
Um servidor 
proxy 
 
8. 
 
 
Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. 
Podem ser classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de 
Firewall que permite executar a conexão ou não a um serviço em uma rede modo indireto? 
 
 
 
 
Firewall Proxy