Exercicios Gestão de Segurança da informação 1 a 10

Prévia do material em texto

GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
 
 
Lupa 
 
 
 
 
 Retornar 
Exercício: CCT0059_EX_A1_201301810321 Matrícula: 201301810321 
Aluno(a): ARTHUR NYCAEL BRUNO DE OLIVEIRA Data: 30/03/2015 19:17:52 (Finalizada) 
 
 
 1a Questão (Ref.: 201301950716) Fórum de Dúvidas (1 de 7) Saiba (2) 
 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não 
pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? 
 
 
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; 
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; 
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; 
 
Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; 
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; 
 
 
 
 
 
 
 2a Questão (Ref.: 201301953423) Fórum de Dúvidas (7) Saiba (2) 
 
O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma 
determinada ameaça causará está relacionado com qual conceito de? 
 
 
 
Impacto. 
 
Valor. 
 
Ameaça. 
 
Risco. 
 
Vulnerabilidade. 
 
 
 
 
 
 
 3a Questão (Ref.: 201301953438) Fórum de Dúvidas (1 de 7) Saiba (2) 
 
Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de 
diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da 
Informação: 
 
 
 
Tudo aquilo que não possui valor específico. 
 
Tudo aquilo que não manipula dados. 
 
Tudo aquilo que tem valor para a organização. 
 
Tudo aquilo que a empresa usa como inventario contábil. 
 
Tudo aquilo que é utilizado no Balanço Patrimonial. 
 
 
 
 
 
 
 4a Questão (Ref.: 201301953314) Fórum de Dúvidas (1 de 7) Saiba (2) 
 
Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de 
negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma 
empresa. Neste contexto qual o objetivo fundamental da ¿Segurança da Informação¿? 
 
 
 
Visam à proteção alguns poucos ativos de uma empresa que contêm informações. 
 
Visa principalmente à proteção dos ativos patrimoniais que contêm informações. 
 
Visa à proteção de todos os ativos de uma empresa que contêm informações. 
 
Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informações. 
 
Visa à proteção dos equipamentos de uma empresa que contêm informações. 
 
 
 
 
 
 
 5a Questão (Ref.: 201302136518) Fórum de Dúvidas (1 de 7) Saiba (2) 
 
No contexto da segurança da informação as proteções são medidas que visam livrar os ativos de 
situações que possam trazer prejuízos. Neste contexto elas podem ser: 
1) Físicas 
2) Lógicas 
3) Administrativas 
 Analise as questões abaixo e relacione o tipo corretamente: 
( ) Procedimento 
( ) Fechadura 
( ) Firewall 
( ) Cadeado 
( ) Normas 
 
 
 
3, 1, 2, 1, 3 
 
2, 2, 1, 3, 1 
 
3, 2, 1, 2, 3 
 
1, 3, 1, 3, 2 
 
2, 1, 2, 1, 3 
 
 
 
 
 
 
 6a Questão (Ref.: 201301950715) Fórum de Dúvidas (1 de 7) Saiba (2) 
 
Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem como uma das 
suas etapas a atividade de classificação dos ativos da organização. Qual das opções abaixo não representa um 
exemplo de Ativo Intangível: 
 
 
 
Marca de um Produto. 
 
Sistema de Informação. 
 
Imagem da Empresa no Mercado. 
 
Confiabilidade de um Banco. 
 
Qualidade do Serviço. 
 
Exercício: CCT0059_EX_A2_201301810321 Matrícula: 201301810321 
Aluno(a): ARTHUR NYCAEL BRUNO DE OLIVEIRA Data: 17/06/2015 00:07:19 (Finalizada) 
 
 
 1a Questão (Ref.: 201301953473) Fórum de Dúvidas (0) Saiba (0) 
 
Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta? 
 
 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Probabilidade das Informações. 
 
Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a 
Disponibilidade das Informações. 
 
Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Disponibilidade das Informações. 
 
Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201302136521) Fórum de Dúvidas (0) Saiba (0) 
 
O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela informação que a 
colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos 
fazem uso da informação, sustentando processos que por sua vez, mantêm a operação da empresa. Estes 
momentos são denominados: 
 
 
 
Criação, compartilhamento, utilização e descarte 
 
Manuseio, transporte, compartilhamento e remoção 
 
Iniciação, processamento, utilização e remoção 
 
Manuseio, armazenamento, transporte e descarte 
 
Criação, utilização, armazenamento e compartilhamento 
 
Gabarito Comentado 
 
 
 
 
 3a Questão (Ref.: 201301953481) Fórum de Dúvidas (0) Saiba (0) 
 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das 
opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para 
as organizações quando tratamos de Segurança da Informação? 
 
 
 
Valor de restrição. 
 
Valor de uso. 
 
Valor de orçamento. 
 
Valor de troca. 
 
Valor de propriedade. 
 
Gabarito Comentado 
 
 
 
 
 4a Questão (Ref.: 201301953476) Fórum de Dúvidas (0) Saiba (0) 
 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha 
na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um 
tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da 
informação relacionada à: 
 
 
 
Confidencialidade; 
 
Autenticidade; 
 
Não-Repúdio; 
 
Auditoria; 
 
Integridade; 
 
 
 
 
 
 
 5a Questão (Ref.: 201301950720) Fórum de Dúvidas (0) Saiba (0) 
 
O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos 
anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração 
desses dados de forma confiável. Neste contexto qual das opções abaixo poderá definir melhor o conceito de 
¿Dado¿? 
 
 
 
Elemento não identificado e que por si só não conduz a uma compreensão de determinado fato 
ou situação. 
 
Elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de 
determinado fato ou situação. 
 
Elemento identificado em sua forma trabalhada que por si só não conduz a uma compreensão de 
determinado fato ou situação 
 
Elemento identificado em sua forma trabalhada e que por si só conduz a várias compreensões de 
fatos e situações. 
 
Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões de fatos 
ou situações.Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201301953482) Fórum de Dúvidas (0) Saiba (0) 
 
Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada 
informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos sem 
causar danos à organização, podemos afirmar que ela possui qual nível de segurança? 
 
 
 
Confidencial. 
 
As opções (a) e (c) estão corretas. 
 
Secreta. 
 
Irrestrito. 
 
Interna. 
 
Exercício: CCT0059_EX_A3_201301810321 Matrícula: 201301810321 
Aluno(a): ARTHUR NYCAEL BRUNO DE OLIVEIRA Data: 17/06/2015 00:11:07 (Finalizada) 
 
 
 1a Questão (Ref.: 201302024333) Fórum de Dúvidas (1 de 3) Saiba (0) 
 
Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque DDoS 
e foi descrito como o maior já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕES de blogs, 
incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre eles, estão 
inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcançou vários Gigabits por 
segundo e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do 
Wordpress, a investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. 
Qual você acha que foi a vulnerabilidade para este ataque? 
 
 
Vulnerabilidade Comunicação 
 
Vulnerabilidade Software 
 
Vulnerabilidade Mídias 
 
Vulnerabilidade Física 
 
Vulnerabilidade Natural 
 
 
 
 
 
 
 2a Questão (Ref.: 201302468006) Fórum de Dúvidas (1 de 3) Saiba (0) 
 
Relacione a primeira coluna com a segunda: 
A. Área de armazenamento sem proteção 1. ativo 
B. Estações de trabalho 2. vulnerabilidade 
C. Falha de segurança em um software 3. ameaça 
D. Perda de vantagem competitiva 4. impacto 
E. Roubo de informações 5. medida de segurança 
F. Perda de negócios 
G. Não é executado o "logout" ao término do uso dos sistemas 
H. Perda de mercado 
I. Implementar travamento automático da estação após período de tempo sem uso 
J. Servidores 
K. Vazamento de informação 
 
 
 
 
A2, B1, C3, D3, E4, F4, G2, H4, I5, J1, K3. 
 
A2, B1, C2, D4, E4, F4, G2, H4, I5, J1, K3. 
 
A2, B1, C3, D3, E3, F4, G2, H4, I5, J1, K4. 
 
A2, B1, C2, D3, E3, F3, G2, H4, I5, J1, K4. 
 
A2, B1, C2, D4, E3, F4, G2, H4, I5, J1, K3. 
 
Gabarito Comentado 
 
 
 
 
 3a Questão (Ref.: 201302156851) Fórum de Dúvidas (3) Saiba (0) 
 
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas 
redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as 
informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o 
intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao 
ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos 
definir o que são vulnerabilidades: 
 
 
 
É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados 
através da utilização de SQL. 
 
Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o 
aparecimento de ameaças potenciais à continuidade dos negócios das organizações. 
 
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou 
confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não 
autorizado a computadores ou informações. 
 
Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, 
criadores e disseminadores de vírus de computadores, incendiários. 
 
São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, 
tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. 
 
 
 
 
 
 
 4a Questão (Ref.: 201302024335) Fórum de Dúvidas (1 de 3) Saiba (0) 
 
As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim 
foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na 
China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a 
acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas 
pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas 
desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? 
 
 
 
Vulnerabilidade Natural 
 
Vulnerabilidade Comunicação 
 
Vulnerabilidade Mídia 
 
Vulnerabilidade de Software 
 
Vulnerabilidade Física 
 
 
 
 
 
 
 5a Questão (Ref.: 201302024337) Fórum de Dúvidas (3) Saiba (0) 
 
Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os 
hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam 
os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o 
endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os 
dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? 
 
 
 
Vulnerabilidade Física 
 
Vulnerabilidade de Software 
 
Vulnerabilidade de Comunicação 
 
Vulnerabilidade Mídia 
 
Vulnerabilidade Natural 
 
Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201302470146) Fórum de Dúvidas (0) Saiba (0) 
 
Você está analisando um documento e precisa verificar se os dados estão corretos. Qual aspecto de segurança 
da informação sobre confiabilidade você está verificando? 
 
 
 
Privacidade 
 
Não repúdio 
 
Legalidade 
 
Integridade 
 
Disponibilidade 
 
Exercício: CCT0059_EX_A4_201301810321 Matrícula: 201301810321 
Aluno(a): ARTHUR NYCAEL BRUNO DE OLIVEIRA Data: 17/06/2015 00:13:59 (Finalizada) 
 
 
 1a Questão (Ref.: 201301950256) Fórum de Dúvidas (1) Saiba (0) 
 
Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi 
projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá 
ser melhor descrito como sendo um: 
 
 
 
exploit 
 
cavalo de tróia (trojan horse) 
 
worm 
 
active-x 
 
vírus 
 
 
 
 
 
 
 2a Questão (Ref.: 201302468029) Fórum de Dúvidas (2 de 5) Saiba (0) 
 
Na categoria de software malicioso (malware), assinale a alternativa que identifica uma ameaça que consiste no 
envio de uma mensagem não-solicitada, que procura induzir o destinatário a fornecer dados pessoais ou 
financeiros, tais como senhas, número do CPF e número da conta-corrente. 
 
 
 
Hoaxes (boatos) 
 
Cavalo de troia 
 
Phishing 
 
Keylogger (espião de teclado) 
 
Vírus de boot 
 
Gabarito Comentado 
 
 
 
 
 3a Questão (Ref.: 201301950253) Fórum de Dúvidas (1) Saiba (0) 
 
As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. 
poderão ser classificadas como: 
 
 
 
Insconsequentes 
 
Destrutivas 
 
Globalizadas 
 
Voluntárias 
 
Tecnológicas. 
 
Gabarito Comentado4a Questão (Ref.: 201302514666) Fórum de Dúvidas (1) Saiba (0) 
 
Analise as seguintes afirmativas sobre ameaças à Segurança da Informação: 
 
I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa desejado pelo 
usuário, com o objetivo de obter dados não autorizados do usuário. 
 
II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se propagar de um 
computador para outro. 
 
III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de remetentes 
falsos. 
 
Estão CORRETAS as afirmativas: 
 
 
 
II e III, apenas. 
 
I, II e III. 
 
I e II, apenas. 
 
II apenas 
 
I e III, apenas. 
 
Gabarito Comentado 
 
 
 
 
 5a Questão (Ref.: 201301950239) Fórum de Dúvidas (1) Saiba (0) 
 
Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua 
origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? 
 
 
 
Secreta e Externa 
 
Interna e Oculta 
 
Interna e Externa 
 
Conhecida e Externa 
 
Secreta e Oculta 
 
 
 
 
 
 
 6a Questão (Ref.: 201302136525) Fórum de Dúvidas (1 de 1) Saiba (0) 
 
As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua intencionalidade: 
 
 
 
Intencional, proposital e natural 
 
Natural, voluntária e involuntária 
 
Voluntária, involuntária e intencional 
 
Intencional, presencial e remota 
 
Natural, presencial e remota 
 
Exercício: CCT0059_EX_A5_201301810321 Matrícula: 201301810321 
Aluno(a): ARTHUR NYCAEL BRUNO DE OLIVEIRA Data: 28/05/2015 22:36:32 (Finalizada) 
 
 
 1a Questão (Ref.: 201301950264) Fórum de Dúvidas (2 de 5) Saiba (0) 
 
Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque 
externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de 
cadastro do cliente. Neste caso, foi utilizado um ataque de 
 
 
 
Fraggle 
 
Buffer Overflow 
 
Fragmentação de Pacotes IP 
 
SQL Injection 
 
Smurf 
 
 
 
 
 
 
 2a Questão (Ref.: 201301950272) Fórum de Dúvidas (2 de 5) Saiba (0) 
 
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede 
através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da 
empresa. Qual o tipo de ataque que o invasor está tentando utilizar? 
 
 
 
Ip Spoofing 
 
Port Scanning 
 
Fragmentação de pacotes IP 
 
SYN Flooding 
 
Fraggle 
 
 
 
 
 
 
 3a Questão (Ref.: 201302482774) Fórum de Dúvidas (2 de 5) Saiba (0) 
 
Qual o nome do ataque que tem como objetivo desfigurar a página de um site ? 
 
 
 
Backdoor 
 
Disfiguration 
 
Spam 
 
Worm 
 
Defacement 
 
 
 
 
 
 
 4a Questão (Ref.: 201301950284) Fórum de Dúvidas (2 de 5) Saiba (0) 
 
Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para isso 
implementou um programa que que irá coletar informações pessoais e financeiros da vítima. Para obter sucesso 
no ataque, Antônio irá induzir o acesso a página fraudulenta através do envio de uma mensagem não solicitada. 
Neste caso estavamos nos referindo ao ataque do tipo 
 
 
 
DDos 
 
Shrink wrap code 
 
SQL Injection 
 
Phishing Scan 
 
Source Routing 
 
 
 
 
 
 
 5a Questão (Ref.: 201301950307) Fórum de Dúvidas (2 de 5) Saiba (0) 
 
Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções 
abaixo Não representa um destes tipos de ataques? 
 
 
 
Ataque à Aplicação 
 
Ataque aos Sistemas Operacionais 
 
Ataque de Configuração mal feita 
 
Ataques Genéricos 
 
Ataque para Obtenção de Informações 
 
 
 
 
 
 
 6a Questão (Ref.: 201302468029) Fórum de Dúvidas (2 de 5) Saiba (0) 
 
Na categoria de software malicioso (malware), assinale a alternativa que identifica uma ameaça que consiste no 
envio de uma mensagem não-solicitada, que procura induzir o destinatário a fornecer dados pessoais ou 
financeiros, tais como senhas, número do CPF e número da conta-corrente. 
 
 
 
Cavalo de troia 
 
Keylogger (espião de teclado) 
 
Phishing 
 
Vírus de boot 
 
Hoaxes (boatos) 
 
Exercício: CCT0059_EX_A6_201301810321 Matrícula: 201301810321 
Aluno(a): ARTHUR NYCAEL BRUNO DE OLIVEIRA Data: 08/06/2015 01:38:01 (Finalizada) 
 
 
 1a Questão (Ref.: 201302482889) Fórum de Dúvidas (1) Saiba (0) 
 
Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de obter 
informações pessoais de usuários de sites da Internet ou site corporativo ? 
 
 
 
Defacement 
 
Rootkit 
 
Spyware 
 
Phishing 
 
Backdoor 
 
 
 
 
 
 
 2a Questão (Ref.: 201302482770) Fórum de Dúvidas (1) Saiba (0) 
 
Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las 
posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ? 
 
 
 
Bot/Botnet 
 
Rootkit 
 
Spammer 
 
Spyware 
 
Phishing 
 
Gabarito Comentado 
 
 
 
 
 3a Questão (Ref.: 201302482891) Fórum de Dúvidas (1) Saiba (0) 
 
Qual o nome do ataque ou maneira de fazer propaganda por meio digitais através de instalação de jogos, 
aplicativos e softwares ? 
 
 
 
Backdoor 
 
Rootkit 
 
Trojan 
 
Spyware 
 
Adware 
 
Gabarito Comentado 
 
 
 
 
 4a Questão (Ref.: 201302157085) Fórum de Dúvidas (1) Saiba (0) 
 
Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de 
operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes 
riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação 
significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles (soluções e 
ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" na 
Análise e Avaliação dos Riscos: 
 
 
 
A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os 
componentes associados ao risco.O risco é representando em termos de possíveis perdas financeiras. 
 
Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com 
menções mais subjetivas como alto, médio e baixo. 
 
Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes 
do risco que foram levantados. 
 
Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de 
vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua 
capacidade de gerar efeitos adversos na organização. 
 
Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, 
reduzi-lo ou impedir que se repita. 
 
Gabarito Comentado 
 
 
 
 
 5a Questão (Ref.: 201301950324) Fórum de Dúvidas (1) Saiba (0) 
 
Qual das opções abaixo não representa uma das etapas da Gestão de Risco: 
 
 
 
Selecionar, implementar e operar controles para tratar os riscos. 
 
Identificar e avaliar os riscos.Verificar e analisar criticamente os riscos. 
 
Manter e melhorar os riscos identificados nos ativos 
 
Manter e melhorar os controles 
 
Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201302482950) Fórum de Dúvidas (1) Saiba (0) 
 
Qual o nome da técnica/ataque ou maneira de identificar trafego de dados que "passam" em uma rede de 
computadores ? 
 
 
 
Spyware 
 
Monitor 
 
Sniffer 
 
DoS 
 
Keylogger 
 
Exercício: CCT0059_EX_A7_201301810321 Matrícula: 201301810321 
Aluno(a): ARTHUR NYCAEL BRUNO DE OLIVEIRA Data: 08/06/2015 01:37:07 (Finalizada) 
 
 
 1a Questão (Ref.: 201301950700) Fórum de Dúvidas (0) Saiba (0) 
 
Quando devem ser executadas as ações corretivas? 
 
 
 
Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a 
evitar a sua repetição 
 
Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a 
sua repetição 
 
Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do 
SGSI de forma a evitar a sua repetição 
 
Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma 
a evitar a sua repetição 
 
Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma 
a evitar a sua repetição 
 
Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201301950337) Fórum de Dúvidas (0) Saiba (0) 
 
Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: 
 
 
 
Análise/avaliação sistemática dos riscos de segurança da informação 
 
Análise/orientação sistemática dos cenários de segurança da informação 
 
Análise/revisão sistemática dos ativos de segurança da informação 
 
Análise/avaliação sistemática dos incidentes de segurança da informação 
 
Identificação/avaliação sistemática dos eventos de segurança da informação 
 
 
 
 
 
 
 3a Questão (Ref.: 201302037989) Fórum de Dúvidas (0) Saiba (0) 
 
Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a 
organização certificada: 
 
 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais 
das empresas de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões e 
melhores práticas de segurança reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com os desejos de 
segurança dos funcionários e padrões comerciais. 
 
implementou um sistema para gerência da segurança da informação de acordo fundamentado nos 
desejos de segurança dos Gerentes de TI. 
 
 
 
 
 
 
 4a Questão (Ref.: 201301950339) Fórum de Dúvidas (0) Saiba (0) 
 
Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. 
Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta 
um conjunto típico destes documentos? 
 
 
 
Diretrizes; Normas e Relatórios 
 
Diretrizes; Manuais e Procedimentos 
 
Manuais; Normas e Procedimentos 
 
Manuais; Normas e Relatórios 
 
Diretrizes; Normas e Procedimentos 
 
 
 
 
 
 
 5a Questão (Ref.: 201301950670) Fórum de Dúvidas (0) Saiba (0) 
 
A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e 
interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo 
referencia a que tipo de ação de Segurança: 
 
 
 
Controle de Acesso. 
 
Gerenciamento das Operações e Comunicações. 
 
Segurança em Recursos Humanos. 
 
Segurança dos Ativos. 
 
Segurança Física e do Ambiente. 
 
Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201301950338) Fórum de Dúvidas (0) Saiba (0) 
 
Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? 
 
 
 
ISO/IEC 27004 
 
ISO/IEC 27002 
 
ISO/IEC 27001 
 
ISO/IEC 27005 
 
ISO/IEC 27003 
 
Exercício: CCT0059_EX_A8_201301810321 Matrícula: 201301810321 
Aluno(a): ARTHUR NYCAEL BRUNO DE OLIVEIRA Data: 08/06/2015 01:41:04 (Finalizada) 
 
 
 1a Questão (Ref.: 201302514735) Fórum de Dúvidas (2) Saiba (0) 
 
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve 
ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e 
melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 
 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as 
organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados 
necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os 
riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido 
para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. 
 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: 
 
 
 
I e III. 
 
II. 
 
III e IV. 
 
II e III. 
 
I e II. 
 
Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201301950703) Fórum de Dúvidas (2) Saiba (0) 
 
A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a 
que tipo de proteção ? 
 
 
 
Correção. 
 
Reação. 
 
Preventiva. 
 
Recuperação . 
 
Limitação. 
 
 
 
 
 3a Questão (Ref.: 201301950676) Fórum de Dúvidas (2) Saiba (0) 
 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos 
eventos monitorados e através de ações: 
 
 
 
Prevenção e Preventivas. 
 
Corretivas e Preventivas. 
 
Corrigidas e Preventivas. 
 
Corretivas e Corrigidas. 
 
Corretivas e Correção. 
 
 
 
 
 
 4a Questão (Ref.: 201302037986) Fórum de Dúvidas (1 de 2) Saiba (0) 
 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos 
eventos monitorados e através de ações: 
 
 
 
Corretivas e Corrigidas 
 
Corretivas e Correção 
 
Corretivas e Preventivas 
 
Prevenção e Preventivas 
 
Corrigidas e Preventivas 
 
 
 
 
 5a Questão (Ref.: 201302468013) Fórum de Dúvidas (2) Saiba (0) 
 
Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da 
informação? 
 
 
 
Auditoria. 
 
Suporte técnico. 
 
Segregação de funções. 
 
Conscientização dos usuários. 
 
Procedimentos elaborados.6a Questão (Ref.: 201302460432) Fórum de Dúvidas (2) Saiba (0) 
 
Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os 
recursos necessários para: 
 
 
 
Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores. 
 
Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. 
 
Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 
 
Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. 
 
Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar 
aos ativos. 
 
Exercício: CCT0059_EX_A9_201301810321 Matrícula: 201301810321 
Aluno(a): ARTHUR NYCAEL BRUNO DE OLIVEIRA Data: 08/06/2015 01:40:59 (Finalizada) 
 
 
 1a Questão (Ref.: 201302468019) Fórum de Dúvidas (0) Saiba (0) 
 
Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre? 
 
 
 
Um ataque massivo pela internet. 
 
Uma catástrofe de grandes impactos. 
 
Um evento súbito, que ocorre de maneira inesperada. 
 
Um evento que causa uma parada nos processos da organização por um período de tempo maior do que 
ela considera aceitável. 
 
Eventos de ordem natural ou acidental, como terremotos e incêndios. 
 
 
 
 2a Questão (Ref.: 201302157084) Fórum de Dúvidas (0) Saiba (0) 
 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem 
ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao 
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura 
do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"? 
 
 
 
Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, 
continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante 
e após um incidente , para manter ou restaurar as operações. 
 
Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a 
organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade 
de tempo aceitável durante e logo após uma interrupção. 
 
Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a 
interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, 
através da sua inclusão na cultura da empresa. 
 
Para o estabelecimento do programa de GCN é necessário entender a organização para definir a 
priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para 
fornecê-los. 
 
A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O 
GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades 
de melhorias possíveis. 
 
 
 
 
 3a Questão (Ref.: 201302030989) Fórum de Dúvidas (0) Saiba (0) 
 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você 
está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção 
que melhor retrata a estratégia a ser definida: 
 
 
 
A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
 
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e 
seus efeitos. 
 
A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de 
incidentes e seus efeitos. 
 
A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes 
e seus efeitos. 
 
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes 
e seus efeitos. 
 
 
 
 4a Questão (Ref.: 201302157080) Fórum de Dúvidas (0) Saiba (0) 
 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem 
ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao 
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura 
do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"? 
 
 
 
A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja 
escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus 
produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma 
interrupção. 
 
A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O 
GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades 
de melhorias possíveis. 
 
Para o estabelecimento do programa de GCN é necessário entender a organização para definir a 
priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para 
fornecê-los. 
 
Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a 
interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, 
através da sua inclusão na cultura da empresa. 
 
O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de 
gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de 
recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou 
restaurar as operações. 
 
 
 
 5a Questão (Ref.: 201302460446) Fórum de Dúvidas (0) Saiba (0) 
 
O Plano de Continuidade do Negócio...... 
 
 
 
define uma ação de continuidade imediata e temporária. 
 
precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de 
alguém como os processos organizacionais. 
 
não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos 
aos ativos de informação. 
 
prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. 
 
deve ser elaborado com base em premissas departamentais particulares do que é considerado 
importante ou não. 
 
 
 
 
 
 6a Questão (Ref.: 201302460436) Fórum de Dúvidas (0) Saiba (0) 
 
De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de 
continuidade do negócio (GCN). 
 
 
 
GCN é a fase inicial da implantação da gestão de continuidade em uma organização. 
 
A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou) 
atividades críticas e recursos de suporte de uma organização. 
 
A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a 
incidentes, de continuidade e de comunicação. 
 
A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de 
interrupção das atividades críticas da organização. 
 
GCN é uma abordagem alternativa à gestão de riscos de segurança da informação. 
 
Exercício: CCT0059_EX_A10_201301810321 Matrícula: 201301810321 
Aluno(a): ARTHUR NYCAEL BRUNO DE OLIVEIRA Data: 08/06/2015 01:46:04 (Finalizada) 
 
 1a Questão (Ref.: 201302031008)Fórum de Dúvidas (1) Saiba (0) 
 
Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus 
componentes ? 
 
 
 
Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de proteção 
 
Redes Não Confiáveis - Não é possível informar se necessitam de proteção. 
 
Redes Não Confiáveis - Não possuem controle da administração. 
 
Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou não 
confiável. 
 
Redes Não Confiáveis - Não possuem políticas de segurança. 
 
 
 2a Questão (Ref.: 201301982651) Fórum de Dúvidas (1) Saiba (0) 
 
Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves 
assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade certificadora confiável. Uma 
mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 
1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 
3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores. 
A mensagem de Ana para Bernardo deve ser assinada 
 
 
 
com a chave pública de Ana e criptografada com a chave privada de Bernardo. 
 
com a chave privada de Bernardo e criptografada com a chave pública de Ana. 
 
e criptografada com a chave pública de Ana. 
 
e criptografada com a chave privada de Bernardo. 
 
com a chave privada de Ana e criptografada com a chave pública de Bernardo. 
 
 
 
 3a Questão (Ref.: 201302501882) Fórum de Dúvidas (1) Saiba (0) 
 
Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas 
pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos 
se comuniquem diretamente com sites na Internet. Neste caso você optará por implementar : 
 
 
 
Um roteador de borda 
 
Um firewall com estado 
 
Um detector de intrusão 
 
Um filtro de pacotes 
 
Um servidor proxy 
 
 
 
 4a Questão (Ref.: 201302514745) Fórum de Dúvidas (1) Saiba (0) 
 
Analise as seguintes afirmações relacionadas à Segurança da Informação e os objetivos do controle de acesso: 
 
I. A disponibilidade é uma forma de controle de acesso que permite identificar os usuários legítimos da 
informação para que lhes possa ser liberado o acesso, quando solicitado. 
 
II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham 
acesso à informação para criá-la, destruí-la ou alterá-la indevidamente. 
 
III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que 
inspeciona uma rede de dentro para fora, identifica e avalia padrões suspeitos que podem identificar um ataque 
à rede e emite um alarme quando existe a suspeita de uma invasão. IV. A integridade é uma forma de controle 
de acesso que evita o acesso de pessoas não autorizadas a informações confidenciais, salvaguardando segredos 
de negócios e protegendo a privacidade de dados pessoais. 
 
Indique a opção que contenha todas as afirmações verdadeiras. 
 
 
I e III. 
 
III e IV. 
 
II e IV. 
 
II e III. 
 
I e II. 
 
 
 
 5a Questão (Ref.: 201302136550) Fórum de Dúvidas (1) Saiba (0) 
 
Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente físico e, até 
mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de contingência que melhor 
conduza o objeto a operar sob um nível de risco controlado. Nas estratégias de contingência possíveis de 
implementação, qual a estratégia que está pronta para entrar em operação assim que uma situação de risco 
ocorrer? 
 
 
 
Cold-site 
 
Acordo de reciprocidade 
 
Warm-site 
 
Hot-site 
 
Realocação de operação 
 
 
 
 6a Questão (Ref.: 201302031009) Fórum de Dúvidas (1) Saiba (0) 
 
Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser 
classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar a 
conexão ou não a um serviço em uma rede modo indireto ? 
 
 
 
Filtro com Pacotes 
 
Firewall Indireto 
 
Firewall com Estado 
 
Firewall Proxy 
 
Firewall de Borda