Simulado Gestão a Segurança da Informacao 2017.1 ( Coletanea )

Prévia do material em texto

Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de 
diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da 
Informação: 
 
 
Tudo aquilo que a empresa usa como inventario contábil. 
 Tudo aquilo que tem valor para a organização. 
 
Tudo aquilo que não manipula dados. 
 
Tudo aquilo que não possui valor específico. 
 
Tudo aquilo que é utilizado no Balanço Patrimonial. 
 
 
 
 
 2a Questão (Ref.: 201502404763) Fórum de Dúvidas (2 de 22) Saiba (3) 
 
Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no 
estudo e implementação de um processo de gestão de segurança em uma organização? 
 
 
Impacto . 
 
Vulnerabilidade. 
 
Risco. 
 
Ameaça. 
 insegurança 
 
 
 
 
 3a Questão (Ref.: 201502404867) Fórum de Dúvidas (2 de 22) Saiba (3) 
 
No contexto da Segurança da Informação, a medida que indica a probabilidade de uma determinada ameaça se 
concretizar, combinada com os impactos que ela trará está relacionada com qual conceito de? 
 
 
Impacto. 
 Risco. 
 
Valor. 
 
Vulnerabilidade. 
 
Ameaça. 
 
 Gabarito Comentado 
 
 
 
 4a Questão (Ref.: 201502402135) Fórum de Dúvidas (5 de 22) Saiba (1 de 3) 
 
A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses 
dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do tratamento 
dos Dados para a sua utilização eficaz nas organizações? 
 
 
Dado - Informação - Dados Brutos 
 Dado - Informação - Conhecimento 
 
Dado - Informação - Informação Bruta 
 
Dado - Conhecimento - Informação 
 
Dado - Conhecimento Bruto - Informação Bruta 
 
 
 
 
 5a Questão (Ref.: 201502404854) Fórum de Dúvidas (5 de 22) Saiba (1 de 3) 
 
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de 
operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia 
as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser 
considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas? 
 
 
Apoio às Operações 
 
Apoio às Estratégias para vantagem competitiva 
 
Apoio aos Processos 
 
Apoio à tomada de decisão empresarial 
 Apoio ao uso da Internet e do ambiente wireless 
 
 
 
 
 6a Questão (Ref.: 201502404864) Fórum de Dúvidas (5 de 22) Saiba (1 de 3) 
 
Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de 
diversas propriedade e que permitem a organização deste ativos em grupos com características semelhantes no 
que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções abaixo define a 
classificação dos tipos de ativos? 
 
 
Contábil e Não Contábil. 
 
Tangível e Físico. 
 Tangível e Intangível. 
 
Material e Tangível. 
 
Intangível e Qualitativo. 
 
 
 
 
 7a Questão (Ref.: 201502404706) Fórum de Dúvidas (3 de 22) Saiba (3) 
 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de 
tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao 
conceito de "Informação"? 
 
 
Pode habilitar a empresa a alcançar seus objetivos estratégicos; 
 
É dado trabalhado, que permite ao executivo tomar decisões; 
 Por si só não conduz a uma compreensão de determinado fato ou situação; 
 
Possui valor e deve ser protegida; 
 
É a matéria-prima para o processo administrativo da tomada de decisão; 
 
 
 
 
 
 8a Questão (Ref.: 201503077096) Fórum de Dúvidas (5 de 22) Saiba (1 de 3) 
 
O propósito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos 
disponíveis (pessoas, materiais, equipamentos, tecnologia, dinheiro e informação). Neste contexto podemos a 
afirmar que ________________________é o elemento identificado em sua forma bruta e que por si só não 
conduz a uma compreensão de determinado fato ou situação. 
 
 
o registro 
 
a informação 
 
o conhecimento 
 o dado 
 
o arquivo 
 
 
 
1. 
 
 
Você está trabalhando em um projeto de classificação de informação e 
sua empresa trabalho no ramo financeiro, onde a divulgação de 
determinadas informações pode causar danos financeiros ou à imagem da 
sua empresa, além de gerar vantagens aos concorrentes e também 
possíveis perda de clientes. Neste caso você classificaria estas 
informações em qual nível de segurança? 
 
 
 
 
 
Interna. 
 
 
Confidencial. 
 
 
Irrestrito. 
 
 
Pública. 
 
 
Secreta. 
 
 
 
 
2. 
 
 
Para auxiliar no processo de classificação das informações das 
organizações, podemos utilizar que ferramenta? 
 
 
 
 
Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. 
 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a 
Integridade e a Disponibilidade das Informações. 
 
 
Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. 
 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a 
Integridade e a Disponibilidade das Informações. 
 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a 
Integridade e a Probabilidade das Informações. 
 
 Gabarito Comentado 
 
 
 
3. 
 
Como qualquer bem ou recurso organizacional, a informação também 
possui seu conceito de valor está associado a um contexto. A informação 
 
 
 
terá valor econômico para uma organização se ela gerar lucros ou se for 
alavancadora de vantagem competitiva, caso contrário poderá ter pouco 
ou nenhum valor. Segundo os conceitos da Segurança da Informação, 
onde devemos proteger as informações? 
 
 
Nos Riscos. 
 
 
Nas Vulnerabilidades. 
 
 
Nos Ativos . 
 
 
Nas Vulnerabilidades e Ameaças. 
 
 
Nas Ameaças. 
 
 Gabarito Comentado 
 
 
 
4. 
 
 
A assinatura digital permite comprovar ______________ e Integridade 
de uma informação, ou seja, que ela foi realmente gerada por quem diz 
ter feito isto e que ela não foi alterada. 
 
 
 
 
 
A Disponibilidade 
 
 
A autenticidade 
 
 
O Não-repúdio 
 
 
A Confidencialidade 
 
 
A Legalidade 
 
 
 
 
5. 
 
 
A gestão do ciclo de vida da informação, no contexto da segurança da 
Informação, tem se tornado um elemento fundamental para: 
 
 
 
 
A gestão de orçamento. 
 
 
A gestão dos usuários. 
 
 
A gestão da área comercial. 
 
 
A gestão dos negócios da organização . 
 
 
A gestão do ciclo da informação interna. 
 
 
 
 
6. 
 
 
Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto 
pela necessidade de confidencialidade quanto pela de disponibilidade¿. 
Esta afirmação é: 
 
 
 
 
 
falsa, pois não existe alteração de nível de segurança de informação. 
 
 
falsa, pois a informação não deve ser avaliada pela sua disponibilidade. 
 
 
verdadeira, pois a classificação da informação pode ser sempre reavaliada. 
 
 
verdadeira se considerarmos que o nível não deve ser mudado. 
 
 
verdadeira desde que seja considerada que todas as informações são publicas. 
 
 
 
 
7. 
 
 
VULNERABILIDADEDE SEGURANÇA O ciclo de vida da informação 
Suponha que João deseja utilizar os serviços oferecidos via Internet por 
seu banco. Como João pode ter certeza de que está dialogando com seu 
banco e não com alguém que se faz passar por ele? Neste caso estamos 
falando de: 
 
 
 
 
 
Legalidade 
 
 
Não-repúdio 
 
 
Autenticação 
 
 
Confidencialidade 
 
 
Disponibilidade 
 
 
 
 
8. 
 
 
Maria trabalha na filial de São Paulo da empresa ABC e necessita 
transmitir um arquivo para Pedro que trabalha na filial de Belém. Após 
receber o arquivo transmitido por Maria, Pedro verificou que o arquivo 
possuia um tamanho maior do que quando Maria iniciou a transmissão. 
Neste caso houve uma falha na segurança da informação relacionada à: 
 
 
 
 
 
Autenticidade; 
 
 
Confidencialidade; 
 
 
Não-Repúdio; 
 
 
Integridade; 
 
 
Auditoria; 
 
 1a Questão (Ref.: 201502404900) Fórum de Dúvidas (9) Saiba (0) 
 
Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo 
financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua 
empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você 
classificaria estas informações em qual nível de segurança? 
 
 Confidencial. 
 
Irrestrito. 
 
Secreta. 
 
Interna. 
 
Pública. 
 
 
 
 
 2a Questão (Ref.: 201502404896) Fórum de Dúvidas (9) Saiba (0) 
 
Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta? 
 
 Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Disponibilidade das Informações. 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a 
Disponibilidade das Informações. 
 
Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. 
 Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Probabilidade das Informações. 
 
 Gabarito Comentado 
 
 
 
 3a Questão (Ref.: 201502404904) Fórum de Dúvidas (9) Saiba (0) 
 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das 
opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para 
as organizações quando tratamos de Segurança da Informação? 
 
 
Valor de propriedade. 
 
Valor de restrição. 
 Valor de orçamento. 
 
Valor de uso. 
 
Valor de troca. 
 
 Gabarito Comentado 
 
 
 
 4a Questão (Ref.: 201503077146) Fórum de Dúvidas (9) Saiba (0) 
 
VULNERABILIDADE DE SEGURANÇA O ciclo de vida da informação Suponha que João deseja utilizar os serviços 
oferecidos via Internet por seu banco. Como João pode ter certeza de que está dialogando com seu banco e não 
com alguém que se faz passar por ele? Neste caso estamos falando de: 
 
 
Disponibilidade 
 
Não-repúdio 
 Autenticação 
 
Confidencialidade 
 
Legalidade 
 
 
 
 
 5a Questão (Ref.: 201502404898) Fórum de Dúvidas (9) Saiba (0) 
 
O advento da internet e a globalização transformaram completamente o mundo que vivemos e 
consequentemente estão revolucionando o modo de operação das empresas . A demanda gradual por 
armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. 
Por que as organizações devem proteger as suas informações? 
 
 
Somente pelo seu valor financeiro . 
 Pelos seus valores estratégicos e financeiros. 
 
Pelos seus valores internos e qualitativos. 
 
Somente pelos seus valores qualitativos e financeiros. 
 
Pelos seus valores estratégicos e qualitativos. 
 
 
 
 
 6a Questão (Ref.: 201502404902) Fórum de Dúvidas (9) Saiba (0) 
 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de 
usuários denominados ¿auditores¿. Um usuário de um outro grupo, o grupo ¿estudante¿, tenta acessar o 
sistema em busca de uma informação que somente o grupo ¿auditores¿ tem acesso e consegue. Neste caso 
houve uma falha na segurança da informação para este sistema na propriedade relacionada à: 
 
 
Integridade; 
 
Disponibilidade; 
 
Auditoria; 
 Confidencialidade; 
 
Não-Repúdio; 
 
 
 
 
 7a Questão (Ref.: 201502404730) Fórum de Dúvidas (3 de 9) Saiba (0) 
 
Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de 
¿Ativo de Informação¿? 
 
 São aqueles que produzem, processam, transmitem ou armazenam informações. 
 
São aqueles que constroem, dão acesso, transmitem ou armazenam informações. 
 
São aqueles que organizam, processam, publicam ou destroem informações. 
 São aqueles tratam, administram, isolam ou armazenam informações. 
 
São aqueles que produzem, processam, reúnem ou expõem informações. 
 
 Gabarito Comentado Gabarito Comentado 
 
 
 
 8a Questão (Ref.: 201503077144) Fórum de Dúvidas (9) Saiba (0) 
 
A assinatura digital permite comprovar ______________ e Integridade de uma informação, ou seja, que ela foi 
realmente gerada por quem diz ter feito isto e que ela não foi alterada. 
 
 
O Não-repúdio 
 
A Disponibilidade 
 
A Confidencialidade 
 A autenticidade 
 
A Legalidade 
 
 1a Questão (Ref.: 201503048831) Fórum de Dúvidas (6 de 15) Saiba (0) 
 
Uma pesquisa realizada pelos organizadores da Conferência Infosecurity Europe 2003 com trabalhadores de 
escritórios, que distribuía um brinde (de baixo valor) aos entrevistados, revelou que 75% deles se dispunham a 
revelar suas senhas em resposta a uma pergunta direta ("Qual é a sua senha?"), e outros 15% responderam a 
perguntas indiretas que levariam à determinação da senha. Esse experimento evidencia a grande 
vulnerabilidade dos ambientes computacionais a ataques de que tipo? 
 
 Engenharia social. 
 
Back doors. 
 
Acesso físico. 
 
Vírus de computador. 
 
Cavalos de tróia. 
 
 Gabarito Comentado 
 
 
 
 2a Questão (Ref.: 201503042438) Fórum de Dúvidas (1 de 15) Saiba (0) 
 
Em setembro de 2012, o sistemas militar que controla armas nucleares, localizado na Casa Branca. Os Hackers 
invadiram através de servidores localizados na China. Neste ataque foi utilizada a técnica conhecida como 
spear-phishing, que é um ataque muito utilizado, e que consiste em enviar informações que confundam o 
usuário e o mesmo execute um código malicioso. Essa técnica geralmente ocorre através de envio de e-mails 
falsos, porém com aparência de confiáveis.. Qual você acha que foi o tipo de vulnerabilidade utilizada neste 
caso? 
 
 
Vulnerabilidade de Hardware. 
 
Vulnerabilidade Física. 
 Vulnerabilidade Humana. 
 
Vulnerabilidade Natural. 
 Vulnerabilidade de Mídias. 
 
 Gabarito Comentado 
 
 
 
 3a Questão (Ref.: 201503048827) Fórum de Dúvidas (1 de 15) Saiba (0) 
 
Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas por 
ameaças, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. 
Com base nessa informação, analise os itens a seguir. 
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser 
explorado por vírus, cavalos de troia, negação deserviço entre outros. 
II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de 
informação. 
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. 
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. 
Representam vulnerabilidades dos ativos de informação o que consta em: 
 
 
II e III, somente. 
 
I, II e IV, somente. 
 I, III e IV, somente. 
 
I, II, III e IV. 
 
I e III, somente. 
 
 Gabarito Comentado 
 
 
 
 4a Questão (Ref.: 201503042444) Fórum de Dúvidas (1 de 15) Saiba (0) 
 
A empresa de segurança cibernética IntelCrawler descobriu no dia 17 de janeiro de 2014 ao menos seis ataques 
em andamento contra varejistas nos Estados Unidos cujos sistemas de cartão de crédito estão infectados com o 
mesmo tipo de software malicioso usado para roubar dados de cerca de 40 milhões de cartões de crédito da 
rede Target. O software malicioso que foi usado para tal feito foi o BlackPOS. Qual você acha que foi o tipo de 
vulnerabilidade utilizada neste caso? 
 
 
Vulnerabilidade de Comunicação. 
 Vulnerabilidade Software. 
 
Vulnerabilidade Física. 
 
Vulnerabilidade de Mídias. 
 
Vulnerabilidade Natural. 
 
 Gabarito Comentado 
 
 
 
 5a Questão (Ref.: 201502475759) Fórum de Dúvidas (1 de 15) Saiba (0) 
 
No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a justificativa de defender 
a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal, 
Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado 
hospedagem, bloqueado recursos financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo 
vazamento de mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a 
vulnerabilidade neste ataque? 
 
 
Vulnerabilidade de Comunicação 
 Vulnerabilidade de Software 
 
Vulnerabilidade Natural 
 
Vulnerabilidade Mídia 
 
Vulnerabilidade Física 
 
 
 
 
 6a Questão (Ref.: 201502401753) Fórum de Dúvidas (1 de 15) Saiba (0) 
 
O processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados 
que possam prever a efetividade desse conjunto de proteções pode ser descrito em qual das opções abaixo? 
 
 
Ameaça 
 
Analise de Escopo 
 
Analise de Incidente 
 Análise de Vulnerabilidade 
 
Ativo 
 
 Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201502571273) Fórum de Dúvidas (1 de 15) Saiba (0) 
 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar 
privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de 
cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a 
Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física: 
 
 
Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de 
informações, perda de dados ou indisponibilidade de recursos quando necessários. 
 
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. 
 Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 
 
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de 
energia). 
 Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a 
instalação. 
 
 Gabarito Comentado 
 
 
 
 8a Questão (Ref.: 201502571307) Fórum de Dúvidas (1 de 15) Saiba (0) 
 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar 
privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de 
cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação 
das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware: 
 
 
Possibilidade de desastres naturais (incêndios, enchentes, 
terremotos, tempestades, falta de energia). 
 
Instalações prediais fora dos padrões de engenharia ou salas de 
servidores mal planejadas. 
 
Radiação eletromagnética pode afetar diversos tipos de mídias 
magnéticas ou erro de fabricação. 
 
Acessos não autorizados ou perda de comunicação ou a ausência 
de sistemas de criptografia nas comunicações. 
 Falha nos recursos tecnológicos (desgaste, obsolescência, mau 
uso) ou erros durante a instalação. 
 
 Gabarito Comentado 
 
 1a Questão (Ref.: 201502966089) Fórum de Dúvidas (1 de 7) Saiba (1) 
 
Analise as seguintes afirmativas sobre ameaças à Segurança da Informação: 
 
I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa desejado pelo 
usuário, com o objetivo de obter dados não autorizados do usuário. 
 
II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se propagar de um 
computador para outro. 
 
III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de remetentes 
falsos. 
 
Estão CORRETAS as afirmativas: 
 
 
I e III, apenas. 
 
II e III, apenas. 
 
II apenas 
 I e II, apenas. 
 I, II e III. 
 
 Gabarito Comentado 
 
 
 
 2a Questão (Ref.: 201502919449) Fórum de Dúvidas (1 de 7) Saiba (1) 
 
Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a 
correta correspondência com seus significados dispostos na Coluna II . 
 
Coluna I 
 
1. Spyware 
2. Adware 
3. Engenharia Social 
4. Backdoor 
5. Phishing 
 
Coluna II 
 
( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página 
clonada ou a um arquivo malicioso. 
( ) Software que insere propagandas em outros programas. 
( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. 
( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. 
( ) Programa espião. 
 
 
A sequencia correta é: 
 
 
3, 1, 5, 2, 4. 
 5, 2, 4, 3, 1. 
 
3, 2, 4, 5, 1. 
 
5,1,4,3,2. 
 
3, 1, 4, 5, 2. 
 
 
 
 
 3a Questão (Ref.: 201502401651) Fórum de Dúvidas (1 de 7) Saiba (1) 
 
Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja 
através de algum outro programa instalado em um computador pode ser descrito como sendo um: 
 
 
Active-x 
 
Spyware 
 
Worm 
 
Java Script 
 Adware 
 
 Gabarito Comentado 
 
 
 
 4a Questão (Ref.: 201502401676) Fórum de Dúvidas (1 de 7) Saiba (1) 
 
As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. 
poderão ser classificadas como: 
 
 
Globalizadas 
 
Insconsequentes 
 
Destrutivas 
 Voluntárias 
 Tecnológicas. 
 
 Gabarito Comentado 
 
 
 
 5a Questão (Ref.: 201502401669) Fórum de Dúvidas (1 de 7) Saiba (1) 
 
Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? 
 
 
Captura de outras senhas usadas em sites de comércio eletrônico; 
 
Alteração da página inicial apresentada no browser do usuário; 
 Alteração ou destruição de arquivos; 
 
Monitoramento de URLs acessadas enquanto o usuário navega na Internet 
 
Captura de senhas bancáriase números de cartões de crédito; 
 
 
 
 
 6a Questão (Ref.: 201502934333) Fórum de Dúvidas (1 de 7) Saiba (1) 
 
Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo teclado do 
usuário e é enviado para o invasor ? 
 
 
Backdoor 
 
Phishing 
 Keylogger 
 
Defacement 
 
Spyware 
 
 
 
 
 7a Questão (Ref.: 201502908754) Fórum de Dúvidas (1 de 7) Saiba (1) 
 
O que são exploits? 
 
 
São programas utilizados para descobrir as senhas dos usuários. Estes programas geralmente são muito 
lentos, pois usam enormes dicionários com o máximo de combinações possíveis de senhas e ficam 
testando uma a uma até achar a senha armazenada no sistema 
 São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades 
conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são utilizados por pessoas sem 
conhecimento da vulnerabilidade. 
 
Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar por outra 
máquina, utilizando a técnica de Spoofing. Quando estas solicitações começarem a ser respondidas, o 
sistema alvo será inundado (flood) pelas respostas do servidor. 
 
É um programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e necessita deste 
programa hospedeiro para se propagar, o worm é um programa completo e não precisa de outro 
programa para se propagar. 
 
Consiste no software de computador que recolhe a informação sobre um usuário do computador e 
transmite então esta informação a uma entidade externa sem o conhecimento ou o consentimento 
informado do usuário. 
 
 1a Questão (Ref.: 201502911799) Fórum de Dúvidas (3 de 7) Saiba (1) 
 
Desde o aparecimento do primeiro spam, em 1994, a prática de enviar e-mails não solicitados tem sido aplicada 
com vários objetivos distintos e também utilizando diferentes aplicativos e meios de propagação na rede. Os 
tipos de spam identificados até o momento são: correntes, boatos, lendas urbanas, propagandas, ameaças, 
pornografia, códigos maliciosos, fraudes e golpes. 
É muito importante que se saiba como identificar os spams, para poder detectá-los mais facilmente e agir 
adequadamente. Dentre as afirmativas abaixo marque aquelas que podemos assinalar como sendo as principais 
características dos spams: 
I. Apresentam cabeçalho suspeito. 
II. Apresentam no campo Assunto palavras com grafia errada ou suspeita. 
III. Apresentam no campo Assunto textos alarmantes ou vagos. 
IV. Oferecem opção de remoção da lista de divulgação. 
V. Prometem que serão enviados "uma única vez. 
VI. Baseiam-se em leis e regulamentações inexistentes. 
Estão corretas: 
 
 
Nenhuma afirmativa está correta 
 
I, II, III, V e VI 
 Todas as afirmativas estão corretas 
 
II, IV e VI 
 
I, III e V 
 
 Gabarito Comentado 
 
 
 
 2a Questão (Ref.: 201503043010) Fórum de Dúvidas (3 de 7) Saiba (1) 
 
Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Se dá através do 
envio de mensagem não solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas para 
furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados 
pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição 
conhecida, como um banco, empresa ou site popular. Qual seria este ataque: 
 
 Phishing Scam. 
 
Packet Sniffing. 
 
Port Scanning. 
 
Ip Spoofing. 
 
Dumpster diving ou trashing. 
 
 Gabarito Comentado 
 
 
 
 3a Questão (Ref.: 201502934197) Fórum de Dúvidas (3 de 7) Saiba (1) 
 
Qual o nome do ataque que tem como objetivo desfigurar a página de um site ? 
 
 
Backdoor 
 Spam 
 
Worm 
 
Disfiguration 
 Defacement 
 
 
 
 
 4a Questão (Ref.: 201503077617) Fórum de Dúvidas (3 de 7) Saiba (1) 
 
Pedro construiu um programa que permite que ele se conecte remotamente a um computador depois que o 
programa for instalado na máquina alvo. Neste caso podemos afirmar que Pedro construiu um: 
 
 Backdoor 
 
Worm 
 
Keylogger 
 
Screenlogger 
 
Trojan 
 
 Gabarito Comentado 
 
 
 
 5a Questão (Ref.: 201503042903) Fórum de Dúvidas (2 de 7) Saiba (1 de 1) 
 
Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital as empresas se 
viram obrigadas a pensar na segurança de suas informações para evitar ameaças e golpes. Assim, a segurança 
da informação surgiu para reduzir possíveis ataques aos sistemas empresariais e domésticos. Resumindo, a 
segurança da informação é uma maneira de proteger os sistemas de informação contra diversos ataques, ou 
seja, mantendo documentações e arquivos. Podemos citar como ítens básicos, reconhecidos, de um ataque a 
sistemas de informação: 
 
 Engenharia Social, Invasão do sistema e Alteração das informções. 
 
Scaming de protocolos, Pedido de informações e Invasão do sistema. 
 Levantamento das informações, Exploração das informações e Obtenção do acesso. 
 
Adequação das informações, Pressão sobre os funcionários e Descoberta de senhas. 
 
Estudo do atacante, Descoberta de informações e Formalização da invasão. 
 
 Gabarito Comentado 
 
 
 
 6a Questão (Ref.: 201502934316) Fórum de Dúvidas (2 de 7) Saiba (1 de 1) 
 
Qual o nome do ataque é foi utilizado em guerras na Grécia, é hoje é aplicado como conceito a área 
computacional. O ataque é enviado um possível programa, mas que na verdade é um código malicioso. Qual o 
nome desse código malicioso ? 
 
 Trojan 
 
Spyware 
 
Adware 
 
Rootkit 
 
Backdoor 
 
 Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201503077626) Fórum de Dúvidas (2 de 7) Saiba (1 de 1) 
 
Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões entre a 
presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de 
saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria compartilhe as informações 
confidenciais que possui. Neste caso podemos afirmar que João está realizando um ataque do tipo: 
 
 
Força bruta 
 
De conhecimento 
 
Conhecimento prévio 
 
escaneamento 
 Engenharia social 
 
 Gabarito Comentado 
 
 
 
 8a Questão (Ref.: 201502571364) Fórum de Dúvidas (3 de 7) Saiba (1) 
 
Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas 
de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas 
e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão 
urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor 
forma de definir a fase de "Manutenção do acesso" nesta receita: 
 
 Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados 
com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos 
recursos computacionais. 
 
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. 
 
Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as 
vulnerabilidades encontradas no sistema. 
 Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo 
de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, 
backdoorsou trojans. 
 
É uma fase preparatória onde o atacante procura coletar o maior número possível de informações 
sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. 
 
 1a Questão (Ref.: 201502401739) Fórum de Dúvidas (2 de 5) Saiba (1) 
 
Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas 
de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste 
caso estamos nos referindo a que tipo de risco: 
 
 
Risco tratado; 
 Risco residual; 
 Risco real; 
 
Risco percebido; 
 
Risco verdadeiro; 
 
 
 
 
 2a Questão (Ref.: 201502934323) Fórum de Dúvidas (2 de 5) Saiba (1) 
 
Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta especificamente um dos 
três elementos da tríade da segurança da informação. Qual é o ataque ? 
 
 
Adware 
 
Backdoor 
 DoS/DDoS 
 
Spyware 
 
0day 
 
 Gabarito Comentado 
 
 
 
 3a Questão (Ref.: 201502608508) Fórum de Dúvidas (2 de 5) Saiba (1) 
 
Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de 
operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes 
riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação 
significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles (soluções e 
ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" na 
Análise e Avaliação dos Riscos: 
 
 Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de 
vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua 
capacidade de gerar efeitos adversos na organização. 
 
Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, 
reduzi-lo ou impedir que se repita. 
 A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os 
componentes associados ao risco.O risco é representando em termos de possíveis perdas 
financeiras. 
 
Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com 
menções mais subjetivas como alto, médio e baixo. 
 
Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos 
componentes do risco que foram levantados. 
 
 Gabarito Comentado 
 
 
 
 4a Questão (Ref.: 201502401743) Fórum de Dúvidas (1 de 5) Saiba (1) 
 
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da 
Informação: 
 
 Probabilidade de um incidente ocorrer mais vezes. 
 
Probabilidade de um ativo explorar uma vulnerabilidade. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade 
 
Probabilidade de uma ameaça explorar um incidente. 
 
Probabilidade de um ativo explorar uma ameaça. 
 
 
 
 
 5a Questão (Ref.: 201502921570) Fórum de Dúvidas (1 de 5) Saiba (1) 
 
A segurança da informação deve ser vista como algo estratégico dentro da organização. E a organização deve 
saber como ela está exposta sobre riscos. Dessa forma, uma maneira da organização criar um plano de gestão 
voltado para riscos é criando um Plano de Gestão de Risco (PGI). O PGI é composto por 4 fases, quais são elas? 
 
 
Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco 
 Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; 
Mapeamento de impacto 
 Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco 
 
Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco 
 
Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; 
Comunicação do impacto 
 
 Gabarito Comentado 
 
 
 
 6a Questão (Ref.: 201502953337) Fórum de Dúvidas (2 de 5) Saiba (1) 
 
Referente ao processo de Gestão de incidentes, qual é a sequência na ordem que compõem o processo de 
gestão de incidentes ? 
 
 
Ameaça, impacto, incidente e recuperação 
 
Incidente, recuperação, impacto e ameaça 
 
Impacto, ameaça, incidente e recuperação 
 
Incidente, impacto, ameaça e recuperação 
 Ameaça, incidente, impacto e recuperação 
 
 Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201502934373) Fórum de Dúvidas (2 de 5) Saiba (1) 
 
Qual o nome da técnica/ataque ou maneira de identificar trafego de dados que "passam" em uma rede de 
computadores ? 
 
 DoS 
 
Spyware 
 
Keylogger 
 
Monitor 
 Sniffer 
 
 Gabarito Comentado 
 
 
 
 8a Questão (Ref.: 201502401749) Fórum de Dúvidas (2 de 5) Saiba (1) 
 
Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: 
 
 Eliminar os riscos completamente e não precisar mais tratá-los 
 
Melhorar a eficácia no controle de riscos 
 
Entender os riscos associados ao negócio e a gestão da informação 
 
Melhorar a efetividade das decisões para controlar os riscos 
 
Manter a reputação e imagem da organização 
 
 1a Questão (Ref.: 201503246243) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
Dada as assertivas, marque a opção correta: I- O risco tem duas dimensões: (i) probabilidade de ocorrência e 
(ii) impacto sobre o projeto. II- Dificilmente as chances de um risco ser totalmente eliminado é real. III- A 
gestão de riscos só visa o monitoramento para detecção de ameaças. 
 
 Apenas I correta 
 
Apenas III correta 
 Apenas I e II corretas 
 
Apenas II correta 
 
Apenas II e III corretas 
 
 
 
 
 2a Questão (Ref.: 201502587957) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da 
informação, através de três fontes principais: 
 
 Análise de risco, análise do impacto de negócio (BIA), classificação da informação 
 Requisitos de negócio, Análise de risco, Requisitos legais 
 
Análise de vulnerabilidades, requisitos legais e classificação da informação 
 
Classificação da informação, requisitos de negócio e análise de risco 
 
Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais 
 
 
 
 
 3a Questão (Ref.: 201502402093) Fórum de Dúvidas (4) Saiba (0) 
 
A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e 
interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo 
referencia a que tipo de ação de Segurança: 
 
 Segurança em Recursos Humanos. 
 
Gerenciamento das Operações e Comunicações. 
 Segurança Física e do Ambiente. 
 
Controle de Acesso. 
 
Segurança dos Ativos. 
 
 Gabarito Comentado 
 
 
 
 4a Questão (Ref.: 201502401757) Fórum de Dúvidas (4) Saiba (0) 
 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são 
especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para 
alcançar a estratégia definida nas diretrizes? 
 
 Relatório Estratégico. 
 
Manuais. 
 
Diretrizes. 
 
Procedimentos. 
 Normas. 
 
 Gabarito Comentado 
 
 
 
 5a Questão (Ref.: 201503246246) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
Os processos que envolvem a gestão de risco são, exceto:Realizar a análise qualitativa do risco 
 Gerenciar as respostas aos riscos 
 Realizar a análise quantitativa do risco 
 
Planejar o gerenciamento de risco 
 
Identificar os riscos 
 
 
 
 
 6a Questão (Ref.: 201502402123) Fórum de Dúvidas (4) Saiba (0) 
 
Quando devem ser executadas as ações corretivas? 
 
 
Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma 
a evitar a sua repetição 
 Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a 
evitar a sua repetição 
 
Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a 
sua repetição 
 Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma 
a evitar a sua repetição 
 
Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do 
SGSI de forma a evitar a sua repetição 
 
 Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201503083502) Fórum de Dúvidas (4) Saiba (0) 
 
A gestão da continuidade do negócio está associada, a não permitir a interrupção das atividades do negócio e 
proteger os processos críticos contra efeitos de falhas ou desastres significativos. 
Analise: 
I. Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo com os 
requisitos regulamentares, estatutários, contratuais e do negócio; 
II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar 
sua permanente atualização e efetividade; 
III. Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção 
da informação. 
IV. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à 
probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação; 
Quanto aos controles relacionados à gestão da continuidade do negócio, marque a opção correta: 
 
 I, II e III, somente 
 
I e II, somente 
 II e IV, somente 
 
I, II e IV, somente 
 
I e III, somente 
 
 Gabarito Comentado 
 
 
 
 8a Questão (Ref.: 201503246253) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: 
 
 
Suposição de risco 
 
Transferência de risco 
 Aceitação de risco 
 
Prevenção de risco 
 Limitação de risco 
 1a Questão (Ref.: 201502489412) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a 
organização certificada: 
 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
 implementou um sistema para gerência da segurança da informação de acordo fundamentado nos 
desejos de segurança dos Gerentes de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais 
das empresas de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os desejos de 
segurança dos funcionários e padrões comerciais. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões e 
melhores práticas de segurança reconhecidas no mercado. 
 
 Gabarito Comentado 
 
 
 
 2a Questão (Ref.: 201502911814) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da 
informação. 
 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a 
aceitação do plano de tratamento do risco pelos gestores da organização. 
 
 Gabarito Comentado 
 
 
 
 3a Questão (Ref.: 201503246266) Fórum de Dúvidas (4) Saiba (0) 
 
Para a implementação de uma regulamentação de monitoramento eletrônico, necessitamos atentar a alguns 
pontos, EXCETO: 
 
 Caso ocorra a divulgação de quaisquer informações confidenciais da empresa, estarão sujeitos às 
sanções cabíveis. 
 Os colaboradores estão cientes que podem copiar ferramentas disponibilizados pela empresa para uso 
externo. 
 
Os colaboradores poderão utilizar a internet corporativa para atividades lícitas em seu horário de 
descanso. 
 
Colaboradores deverão estar cientes de que a empresa poderá a vir inspecionar todo o e qualquer 
arquivo trafegado na rede. 
 
Ciência por parte dos colaboradores acerca dos sistemas de monitoramento implantados. 
 
 
 
 
 4a Questão (Ref.: 201502608293) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem 
como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão 
de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do 
Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: 
 
 É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem 
que desenvolver para apoiar suas operações. 
 A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas 
responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou 
roubo, fraude ou mau uso dos recursos. 
 
Uma orientação de como a organização deve proceder para estabelecer a política de segurança da 
informação. 
 
São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus 
parceiros comerciais, contratados e provedores de serviço tem que atender. 
 
Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências 
com as instalações e informações da organização. 
 
 Gabarito Comentado 
 
 
 
 5a Questão (Ref.: 201503083497) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como 
objetivo apresentar recomendações para: 
 
 Resolver de forma definitiva os problemas causados por incidentes de segurança da informação 
estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos 
sistemas de informação e comunicação. 
 Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação 
sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil 
 
Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da 
informação e detectar e resolver incidentes de segurança da informação em tempo hábil 
 
Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de 
falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso 
 
Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e 
de quaisquer requisitos de segurança da informação. 
 
 
 
 
 6a Questão (Ref.: 201502576689) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
Com relação à NBR 27005, assinale a opção correta, no que se refereà gestão de riscos de segurança da 
informação. 
 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 
Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a 
aceitação do plano de tratamento do risco pelos gestores da organização. 
 Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 
 
 Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201502911833) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da 
informação deve: 
 
 
revelar informações sensíveis da organização. 
 ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a 
organização. 
 
conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, 
inclusive pela direção. 
 
conter o registro dos incidentes de segurança da organização. 
 
apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir 
como será o processo de gestão de riscos. 
 
 Gabarito Comentado 
 
 
 
 8a Questão (Ref.: 201502401760) Fórum de Dúvidas (4) Saiba (0) 
 
Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: 
 
 Análise/avaliação sistemática dos incidentes de segurança da informação 
 
Identificação/avaliação sistemática dos eventos de segurança da 
informação 
 
Análise/orientação sistemática dos cenários de segurança da informação 
 Análise/avaliação sistemática dos riscos de segurança da informação 
 
Análise/revisão sistemática dos ativos de segurança da informação 
 1a Questão (Ref.: 201502577659) Fórum de Dúvidas (1 de 4) Saiba (1) 
 
Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança 
da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de 
Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da 
informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto 
mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA 
DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: 
 
 Identificar, Analisar e avaliar os riscos. 
 
A abordagem de análise/avaliação das vulnerabilidades da organização. 
 Identificar e avaliar as opções para o tratamento das vulnerabilidades. 
 
A politica de gestão de continuidade de negócio. 
 
A política do BIA. 
 
 
 
 
 2a Questão (Ref.: 201502608648) Fórum de Dúvidas (1 de 4) Saiba (1) 
 
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o 
SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua 
gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do 
SGSI. Podemos dizer que uma das características da fase "Plan" é: 
 
 O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos 
e tecnologia. 
 Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados 
das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros 
nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e 
os incidente de segurança da informação. 
 
Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão 
apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os 
recursos do SGSI. 
 
A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, 
buscando não burocratizar o funcionamento das áreas. 
 
 Gabarito Comentado 
 
 
 
 3a Questão (Ref.: 201502402140) Fórum de Dúvidas (1 de 4) Saiba (1) 
 
Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de 
situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção 
possíveis de serem aplicadas às organizações? 
 
 Administrativa, Física e Programada. 
 
Administrativa, Contábil e Física. 
 
Lógica, Física e Programada. 
 Administrativa, Física e Lógica. 
 
Lógica, Administrativa e Contábil. 
 
 Gabarito Comentado 
 
 
 
 4a Questão (Ref.: 201502402128) Fórum de Dúvidas (1 de 4) Saiba (1) 
 
No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um 
Problema de Segurança: 
 
 
Uma tempestade. 
 Restrição Financeira. 
 
A perda de qualquer aspecto de segurança importante para a organização. 
 
Uma Operação Incorreta ou Erro do usuário. 
 
Uma inundação. 
 
 
 
 
 5a Questão (Ref.: 201502489409) Fórum de Dúvidas (1 de 4) Saiba (1) 
 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos 
eventos monitorados e através de ações: 
 
 Prevenção e Preventivas 
 
Corretivas e Corrigidas 
 
Corrigidas e Preventivas 
 Corretivas e Preventivas 
 
Corretivas e Correção 
 
 
 
 
 6a Questão (Ref.: 201502911855) Fórum de Dúvidas (1 de 4) Saiba (1) 
 
Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os 
recursos necessários para: 
 
 Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. 
 
Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores. 
 Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 
 
Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. 
 
Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar 
aos ativos. 
 
 Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201502919436) Fórum de Dúvidas (1 de 4) Saiba (1) 
 
Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da 
informação? 
 
 
Suporte técnico. 
 Auditoria. 
 
Segregação de funções. 
 Conscientização dos usuários. 
 
Procedimentos elaborados. 
 
 Gabarito Comentado 
 
 
 
 8a Questão (Ref.: 201502587966) Fórum de Dúvidas (1 de 4) Saiba (1) 
 
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são 
genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios 
de implementação da norma ISO/IEC 27001 em qualquer organização: 
 
 
Controle de registros, responsabilidade da direção, melhoria do 
SGSI e auditorias internas 
 Sistema de gestão de segurança da informação, responsabilidade 
da direção, análise crítica do SGSI pela direção e Melhoria do 
SGSI 
 
Sistema de gestão de segurança da informação, análise de risco,auditorias internas e melhoria do SGSI 
 
Responsabilidade da direção, auditorias internas, controle de 
registros, sistema de gestão de segurança da informação. 
 
Sistema de gestão de segurança da informação, classificação da 
informação, auditoria internas e análise de risco. 
 
 Gabarito Comentado 
 
 1a Questão (Ref.: 201502911869) Fórum de Dúvidas (2) Saiba (0) 
 
O Plano de Continuidade do Negócio...... 
 
 
deve ser elaborado com base em premissas departamentais particulares do que é considerado 
importante ou não. 
 prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. 
 
define uma ação de continuidade imediata e temporária. 
 
não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos 
aos ativos de informação. 
 precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de 
alguém como os processos organizacionais. 
 
 
 
 
 2a Questão (Ref.: 201502404893) Fórum de Dúvidas (2) Saiba (0) 
 
Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha 
como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? 
 
 
Não-Repúdio; 
 
Confidencialidade; 
 Autenticidade; 
 
Auditoria; 
 
Integridade; 
 
 Gabarito Comentado 
 
 
 
 3a Questão (Ref.: 201502587971) Fórum de Dúvidas (2 de 2) Saiba (0) 
 
Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as 
organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o 
perfeito dimensionamento das demais fases de elaboração do plano de continuidade ? 
 
 Análise de impacto dos negócios (BIA) 
 
Classificação da informação 
 
Análise de vulnerabilidade 
 
Auditoria interna 
 
Análise de risco 
 
 Gabarito Comentado 
 
 
 
 4a Questão (Ref.: 201503083529) Fórum de Dúvidas (2 de 2) Saiba (0) 
 
A gestão de continuidade de negócio envolve prioritariamente os seguintes processos: 
 
 
Gestão de configuração; planejamento de capacidade; gestão de mudança 
 Plano de redundância; análise de risco; planejamento de capacidade 
 
Tratamento de incidentes; solução de problemas; acordo de nível de operação 
 
Investigação e diagnóstico; resolução de problemas; recuperação 
 Análise de impacto no negócio; avaliação de risco; plano de contingência 
 
 
 
 
 5a Questão (Ref.: 201502482405) Fórum de Dúvidas (2) Saiba (0) 
 
Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) 
esteja no nível mais alto da organização? 
 
 
Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções 
inesperadas. 
 
Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por 
interrupções inesperadas. 
 Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções 
inesperadas. 
 Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas. 
 
Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções 
inesperadas. 
 
 Gabarito Comentado 
 
 
 
 6a Questão (Ref.: 201502482412) Fórum de Dúvidas (2) Saiba (0) 
 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você 
está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção 
que melhor retrata a estratégia a ser definida: 
 
 A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência 
de incidentes e seus efeitos. 
 A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de 
incidentes e seus efeitos. 
 
A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
 
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e 
seus efeitos. 
 
A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de 
incidentes e seus efeitos. 
 
 
 
 
 7a Questão (Ref.: 201502482410) Fórum de Dúvidas (2) Saiba (0) 
 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você 
está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações 
que você deve realizar: 
 
 
Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e 
serviços desnecessários para a organização. 
 Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de 
produtos e serviços fundamentais para a organização. 
 Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e 
serviços fundamentais para a organização. 
 
Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e 
serviços fundamentais para a organização. 
 
Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e 
serviços desnecessários para a organização. 
 
 Gabarito Comentado 
 
 
 
 8a Questão (Ref.: 201502911859) Fórum de Dúvidas (2) Saiba (0) 
 
De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de 
continuidade do negócio (GCN). 
 
 
A definição da estratégia de continuidade determina o valor dos períodos 
máximos toleráveis de interrupção das atividades críticas da organização. 
 
A implementação da resposta de GCN compreende a realização dos testes 
dos planos de resposta a incidentes, de continuidade e de comunicação. 
 
GCN é uma abordagem alternativa à gestão de riscos de segurança da 
informação. 
 
GCN é a fase inicial da implantação da gestão de continuidade em uma 
organização. 
 A análise de impacto no negócio resulta em melhor entendimento acerca 
dos produtos, serviços e(ou) atividades críticas e recursos de suporte de 
uma organização. 
 1a Questão (Ref.: 201502482435) Fórum de Dúvidas (3) Saiba (1) 
 
Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INCORRETA : 
 
 
A Chave Privada deve ser mantida em segredo pelo seu Dono 
 A Chave Publica não pode ser divulgada livremente, somente a Chave Privada 
 
Chave Publica e Privada são utilizadas por algoritmos assimétricos 
 Cada pessoa ou entidade mantém duas chaves 
 
A Chave Publica pode ser divulgada livremente 
 
 
 
 
 2a Questão (Ref.: 201502587973) Fórum de Dúvidas (3) Saiba (1) 
 
Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente físico e, até 
mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de contingência que melhor 
conduza o objeto a operar sob um nível de risco controlado. Nas estratégias de contingência possíveis de 
implementação, qual a estratégia que está pronta para entrar em operação assim que uma situação de risco 
ocorrer? 
 
 
Warm-site 
 
Realocação de operação 
 
Cold-site 
 Acordo de reciprocidade 
 Hot-site 
 
 Gabarito Comentado 
 
 
 
 3a Questão (Ref.: 201502953305) Fórum de Dúvidas (3) Saiba (1) 
 
Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadaspretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos 
se comuniquem diretamente com sites na Internet. Neste caso você optará por implementar : 
 
 
Um filtro de pacotes 
 
Um firewall com estado 
 
Um roteador de borda 
 
Um detector de intrusão 
 Um servidor proxy 
 
 Gabarito Comentado 
 
 
 
 4a Questão (Ref.: 201503246260) Fórum de Dúvidas (3) Saiba (1) 
 
Dentre as vantagens de utilização de normas, podemos destacar as seguintes, EXCETO: 
 
 Compartilhamento de informações com os stakeholders 
 
Criação de vantagens competitivas 
 
Desenvolvimento e manutenção das melhores práticas 
 
Atrair e manter clientes 
 
Demonstração de liderança de mercado 
 
 
 
 
 5a Questão (Ref.: 201502436920) Fórum de Dúvidas (3) Saiba (1) 
 
A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo 
(inseguro), é conhecida como: 
 
 
backbone. 
 
tcp/ip. 
 zona desmilitarizada (DMZ). 
 
wi-fi. 
 
pki. 
 
 
 
 
 6a Questão (Ref.: 201503083531) Fórum de Dúvidas (3) Saiba (1) 
 
O fato de se poder conectar qualquer computador em qualquer lugar a qualquer outro computador pode torná- 
lo vulnerável. O recurso técnico para proteger essa conexão de dados é através de: 
 
 Certificação digital 
 
Proxy 
 
Esteganografia 
 Firewall 
 
PKI 
 
 Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201503083535) Fórum de Dúvidas (3) Saiba (1) 
 
Em relação a firewalls, analise as assertivas abaixo: 
I.Firewalls em estado de conexão mapeiam pacotes e usam campos cabeçalhos TCP/IP para cuidar da 
conectividade. 
II.Firewalls podem implementar gateways em nível de aplicação que examinam os pacotes por dentro, além do 
cabeçalho TCP/IP, para ver o que a aplicação está fazendo. 
III. Um problema fundamental com firewalls é que eles oferecem um único perímetro de defesa, o qual, se 
rompido, deixará comprometida toda a segurança. 
É correto o que se afirma em : 
 
 
I, apenas 
 I e II, apenas 
 I, II e III 
 
II, apenas 
 
III, apenas 
 
 
 
 
 8a Questão (Ref.: 201502482427) Fórum de Dúvidas (3) Saiba (1) 
 
Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um 
comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e 
precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da 
rede. Neste caso você irá utilizar: 
 
 
Um filtro de pacotes, para verificar quais pacotes estão sendo 
verificados pelos firewall 
 
Um sniffer de rede, para analisar o tráfego da rede 
 Um detector de intrusão para realizar a análise do tráfego da rede 
 
Um analisador de protocolo para auxiliar na análise do tráfego da 
rede 
 
Um servidor proxy para filtrar o fluxo de dados que entram e saem 
da rede 
 1a Questão (Ref.: 201502434069) Fórum de Dúvidas (3) Saiba (1) 
 
O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de: 
 
 
controlar a expiração da sessão do usuário, caso o mesmo possua cookies desabilitados em seu 
navegador. 
 criptografar os dados enviados através do formulário para impedir que os mesmos sejam interceptados 
em curso. 
 
testar a aptidão visual do usuário para decidir sobre a folha de estilo CSS a ser utilizada nas páginas 
subseqüentes. 
 confirmar que o formulário está sendo preenchido por um usuário humano e não por um computador. 
 
confirmar a identidade do usuário. 
 
 
 
 
 2a Questão (Ref.: 201502482429) Fórum de Dúvidas (3) Saiba (1) 
 
Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor 
de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de rede você 
localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? 
 
 
na Zona Demilitarizada (DMZ) protegida 
 
na Zona Demilitarizada (DMZ) suja 
 na rede interna da organização 
 
ligado diretamente no roteador de borda 
 em uma subrede externa protegida por um proxy 
 
 Gabarito Comentado 
 
 
 
 3a Questão (Ref.: 201502482420) Fórum de Dúvidas (3) Saiba (1) 
 
Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor 
Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual 
tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de 
segurança? 
 
 na rede interna da organização 
 
na Zona Desmilitarizada (DMZ) suja 
 na Zona Desmilitarizada (DMZ) protegida 
 
em uma subrede interna protegida por um proxy 
 
ligado diretamente no roteador de borda 
 
 
 
 
 4a Questão (Ref.: 201502608645) Fórum de Dúvidas (3) Saiba (1) 
 
Uma empresa teve a sua sala de servidores incendiadas e com isso perdeu todos os dados importantes para a 
empresa, mas ela estava preparada para a continuidade dos negócios, o que você acha que foi importante para 
a recuperação destes dados: 
 
 
Havia uma VPN interligando várias Intranets através da Internet. 
 
A empresa possuía um FIREWALL que isolam a rede interna da organização da área pública da Internet, 
permitindo que alguns pacotes passem e outros não, prevenindo ataques de negação de serviço ou 
modificações e acessos ilegais aos dados internos. 
 Eles dispunham de uma DMZ que são pequenas redes que geralmente contém serviços públicos que são 
conectados diretamente ao firewall ou a outro dispositivo de filtragem e que recebem a proteção deste 
dispositivo. 
 Na empresa haviam Backups ou cópias de segurança que são itens muito importantes na administração 
de sistemas devendo fazer parte da rotina de operação dos sistemas da organização, através de uma 
política pré-determinada. 
 
Eles tinham um IDS que tem como principal objetivo reconhecer um comportamento ou uma ação 
intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede. 
 
 
 
 
 5a Questão (Ref.: 201502966168) Fórum de Dúvidas (3) Saiba (1) 
 
Analise as seguintes afirmações relacionadas à Segurança da Informação e os objetivos do controle de acesso: 
 
I. A disponibilidade é uma forma de controle de acesso que permite identificar os usuários legítimos da 
informação para que lhes possa ser liberado o acesso, quando solicitado. 
 
II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham 
acesso à informação para criá-la, destruí-la ou alterá-la indevidamente. 
 
III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que 
inspeciona uma rede de dentro para fora, identifica e avalia padrões suspeitos que podem identificar um ataque 
à rede e emite um alarme quando existe a suspeita de uma invasão. IV. A integridade é uma forma de controle 
de acesso que evita o acesso de pessoas não autorizadas a informações confidenciais, salvaguardando segredos 
de negócios e protegendo a privacidade de dados pessoais. 
 
Indique a opção que contenha todas as afirmações verdadeiras. 
 
 I e III. 
 
II e IV. 
 
III e IV. 
 
I e II. 
 
II e III. 
 
 Gabarito Comentado 
 
 
 
 6a Questão (Ref.: 201502482437) Fórum de Dúvidas (3) Saiba (1) 
 
Os algoritmos de criptografia podem ser classificadosquanto a simetria das suas chaves. Neste sentido é 
correto afirmar que? 
 
 
A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas 
chaves 
 
A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a mesma 
chave 
 
A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes 
 A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave 
 
A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves 
diferentes 
 
 Gabarito Comentado Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201502482426) Fórum de Dúvidas (3) Saiba (1) 
 
Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas 
pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos 
e externos se comuniquem diretamente. Neste caso você optará por implementar : 
 
 
Um detector de intrusão 
 
Um roteador de borda 
 
Um firewall com estado 
 
Um filtro de pacotes 
 Um servidor proxy 
 
 
 
 
 
 8a Questão (Ref.: 201502482431) Fórum de Dúvidas (3) Saiba (1) 
 
Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus 
componentes ? 
 
 Redes Não Confiáveis - Não é possível informar se necessitam de proteção. 
 
Redes Confiáveis - Localizadas no perímetro de segurança da rede, 
portanto necessitam de proteção 
 
Redes Não Confiáveis - Não possuem controle da administração. 
 Redes Desconhecidas - Não é possível informar, de modo explícito, se a 
rede é confiável ou não confiável. 
 
Redes Não Confiáveis - Não possuem políticas de segurança. 
 1a Questão (Ref.: 201502919445) Fórum de Dúvidas (3) Saiba (1) 
 
Que cuidado deve ser tomado no armazenamento de fitas de backup fora da organização? 
 
 O local de armazenamento deve ser de fácil acesso durante o expediente. 
 
O local de armazenamento deve estar a, no mínimo, 25 quilômetros da organização. 
 O local de armazenamento deve estar protegido contra acessos não autorizados. 
 
O local de armazenamento deve estar a, no mínimo, 40 quilômetros da organização. 
 
O local de armazenamento deve estar protegido por guardas armados. 
 
 
 
 
 2a Questão (Ref.: 201503083539) Fórum de Dúvidas (3) Saiba (1) 
 
A sub-rede, também conhecida como rede de perímetro, utilizada para transmitir informações entre uma rede 
confiável e uma não confiável, mantendo os serviços que possuem acesso externo separados da rede local, é 
chamada de: 
 
 
Proxy 
 DMZ 
 
VPN 
 
Intranet 
 Firewall 
 
 Gabarito Comentado 
 
 
 
 3a Questão (Ref.: 201503246250) Fórum de Dúvidas (3) Saiba (1) 
 
São exemplos de ativos associados a sistemas (pertinentes para a identificação de ameaças), exceto: 
 
 
Informação 
 Softwares 
 Pessoas 
 
Serviços 
 
Hardware 
 
 
 
 
 4a Questão (Ref.: 201502577672) Fórum de Dúvidas (3) Saiba (1) 
 
Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle 
da rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e 
a internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados. 
 
 
Mailing. 
 
Spyware. 
 Firewall. 
 Antivírus. 
 
Adware. 
 
 
 
 
 5a Questão (Ref.: 201502482432) Fórum de Dúvidas (3) Saiba (1) 
 
Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser 
classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar a 
conexão ou não a um serviço em uma rede modo indireto ? 
 
 Firewall Proxy 
 Filtro com Pacotes 
 
Firewall de Borda 
 
Firewall com Estado 
 
Firewall Indireto 
 
 
 
 
 6a Questão (Ref.: 201502482424) Fórum de Dúvidas (3) Saiba (1) 
 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você 
está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção 
que melhor retrata a estratégia a ser definida: 
 
 
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de 
incidentes e seus efeitos. 
 A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência 
de incidentes e seus efeitos. 
 
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e 
seus efeitos. 
 
A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
 A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de 
incidentes e seus efeitos. 
 
 Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201502953302) Fórum de Dúvidas (3) Saiba (1) 
 
Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um 
comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e 
precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da 
rede. Neste caso você irá utilizar: 
 
 
Um analisador de espectro de rede, para analisar o tráfego da rede 
 Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede 
 
Um firewall para auxiliar na análise do tráfego da rede 
 Um detector de intrusão para realizar a análise do tráfego da rede 
 
Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall 
 
 Gabarito Comentado 
 
 
 
 8a Questão (Ref.: 201502434074) Fórum de Dúvidas (3) Saiba (1) 
 
Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves 
assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade certificadora confiável. Uma 
mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 
1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 
3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores. 
A mensagem de Ana para Bernardo deve ser assinada 
 
 e criptografada com a chave privada de Bernardo. 
 com a chave privada de Ana e criptografada com a chave pública de Bernardo. 
 
com a chave privada de Bernardo e criptografada com a chave pública de Ana. 
 
com a chave pública de Ana e criptografada com a chave privada de Bernardo. 
 
e criptografada com a chave pública de Ana