exercicio de fixação segurança informação aula 6 a 8

Prévia do material em texto

Segurança da Informação aula de 6 a 10 
 
Aula 6 
 
 
1. 
 
 
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma 
barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou 
mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter": 
 
 
 
 
Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança 
da informação. 
 
Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. 
 
Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, 
definindo perfis e autorizando permissões. 
 
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. 
 
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem 
os gestores da segurança na detecção de situações de risco. 
 
 Gabarito Comentado 
 
 
 
2. 
 
 
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a 
Segurança da Informação: 
 
 
 
 
Probabilidade de um ativo explorar uma vulnerabilidade. 
 
Probabilidade de um ativo explorar uma ameaça. 
 
Probabilidade de um incidente ocorrer mais vezes. 
 
Probabilidade de uma ameaça explorar um incidente. 
 
Probabilidade de uma ameaça explorar uma vulnerabilidade 
 
 
 
 
3. 
 
 
Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o 
intuito de obter informações pessoais de usuários de sites da Internet ou site corporativo ? 
 
 
 
 
Backdoor 
 
Spyware 
 
Phishing 
 
Rootkit 
 
Defacement 
 
 
 
 
4. 
 
 
Referente ao processo de Gestão de incidentes, qual é a sequência na ordem que compõem o 
processo de gestão de incidentes ? 
 
 
 
 
Incidente, recuperação, impacto e ameaça 
 
Ameaça, incidente, impacto e recuperação 
 
Ameaça, impacto, incidente e recuperação 
 
Impacto, ameaça, incidente e recuperação 
 
Incidente, impacto, ameaça e recuperação 
 
 Gabarito Comentado 
 
 
 
5. 
 
 
Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-
las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ? 
 
 
 
 
Bot/Botnet 
 
Spyware 
 
Spammer 
 
Phishing 
 
Rootkit 
 
 Gabarito Comentado 
 
 
 
6. 
 
 
Qual o nome da técnica/ataque ou maneira de identificar trafego de dados que "passam" em 
uma rede de computadores ? 
 
 
 
 
DoS 
 
Monitor 
 
Sniffer 
 
Keylogger 
 
Spyware 
 
 Gabarito Comentado 
 
 
 
7. 
 
 
A segurança da informação deve ser vista como algo estratégico dentro da organização. E a 
organização deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da 
organização criar um plano de gestão voltado para riscos é criando um Plano de Gestão de Risco 
(PGI). O PGI é composto por 4 fases, quais são elas? 
 
 
 
 
Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco 
 
Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco 
 
Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; Mapeamento de 
impacto 
 
Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco 
 
Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; Comunicação do 
impacto 
 
 Gabarito Comentado 
 
 
 
8. 
 
 
Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: 
 
 
 
 
Manter a reputação e imagem da organização 
 
Melhorar a efetividade das decisões para controlar os riscos 
 
Eliminar os riscos completamente e não precisar mais tratá-los 
 
Entender os riscos associados ao negócio e a gestão da informação 
 
Melhorar a eficácia no controle de riscos 
 
 
 
 
 
 
1. 
 
 
É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois 
ele afeta o processo em geral e a definição do contexto em particular. Qual das opções abaixo 
Não representa um destes propósitos? 
 
 
 
 
Preparação de um plano de continuidade de negócios. 
 
Preparação de um plano para aceitar todos os Riscos 
 
Conformidade Legal e a evidência da realização dos procedimentos corretos 
 
Preparação de um plano de respostas a incidentes. 
 
Descrição dos requisitos de segurança da informação para um produto. 
 
 Gabarito Comentado 
 
 
 
2. 
 
 
Qual das opções abaixo não representa uma das etapas da Gestão de Risco: 
 
 
 
 
Manter e melhorar os riscos identificados nos ativos 
 
Verificar e analisar criticamente os riscos. 
 
Manter e melhorar os controles 
 
Selecionar, implementar e operar controles para tratar os riscos. 
 
Identificar e avaliar os riscos. 
 
 
 
 
3. 
 
 
Qual o nome do processo malicioso que tem o intuito de infectar uma ou várias máquinas e 
utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante 
? 
 
 
 
 
Phishing 
 
Bot/Botnet 
 
Spammer 
 
Rootkit 
 
Spyware 
 
 Gabarito Comentado 
 
 
 
4. 
 
 
Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após 
todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de 
risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco: 
 
 
 
 
Risco residual; 
 
Risco real; 
 
Risco percebido; 
 
Risco tratado; 
 
Risco verdadeiro; 
 
 
 
 
5. 
 
 
Qual o nome do ataque que é muito utilizado em espionagem, onde esse é utilizado para obter 
informações confidenciais em lixos ? 
 
 
 
 
Adware 
 
Defacement 
 
DoS 
 
Dumpster diving 
 
Backdoor 
 
 Gabarito Comentado 
 
 
 
6. 
 
 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos 
riscos onde são utilizados termos numéricos para os componentes associados ao risco. 
 
 
 
 
Método Numérico. 
 
Método Exploratório. 
 
Método Quantitativo 
 
Método Classificatório 
 
Método Qualitativo 
 
 
 
 
7. 
 
 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área 
de Banco de Dados, pretende instalar dispositivos de autenticação de acesso físico, que será 
implementado através de dispositivo biométrico. Neste caso que tipo de barreira você está 
implementando? 
 
 
 
 
Dificultar 
 
Discriminar 
 
Detectar 
 
Desencorajar 
 
Deter 
 
 
 
 
8. 
 
 
Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no momento da 
descoberta ? 
 
 
 
 
Rootkit 
 
Backdoor 
 
Spam 
 
0day 
 
Adware 
 
 
 
Aula 7 SEGURANÇA DA INFORMAÇÃO 
 
 
 
1. 
 
 
Os processos que envolvem a gestão de risco são, exceto: 
 
 
 
 
Realizar a análise quantitativa do risco 
 
Planejar o gerenciamento de risco 
 
Gerenciar as respostas aos riscos 
 
Realizar a análise qualitativa do risco 
 
Identificar os riscos 
 
 
 
 
2. 
 
 
Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as 
afirmativas e associe as colunas. 
1) Comitê de segurançada informação. 
2) Controle. 
3) Funções de software e hardware. 
4) Deve ser analisado criticamente. 
5) Política. 
( ) Controle. 
( ) Firewall. 
( ) estrutura organizacional. 
( ) Permissão de acesso a um servidor. 
( ) Ampla divulgação das normas de segurança da informação. 
A combinação correta entre as duas colunas é: 
 
 
 
 
5-1-4-3-2. 
 
4-3-5-2-1. 
 
2-3-1-5-4. 
 
1-2-4-3-5. 
 
4-3-1-2-5. 
 
 Gabarito Comentado 
 
 
 
3. 
 
 
Certificações de organizações que implementaram a NBR ISO/IEC 27001 
é um meio de garantir que a organização certificada: 
 
 
 
 
implementou um sistema para gerência da segurança da informação de acordo 
fundamentado nos desejos de segurança dos Gerentes de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com 
os padrões de segurança de empresas de maior porte reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com 
os padrões nacionais das empresas de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com 
os padrões e melhores práticas de segurança reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com 
os desejos de segurança dos funcionários e padrões comerciais. 
 
 Gabarito Comentado 
 
 
 
4. 
 
 
Com relação à NBR 27005, assinale a opção correta, no que se refere à 
gestão de riscos de segurança da informação. 
 
 
 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 
Qualquer atividade de comunicação do risco de segurança da informação deve 
ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da 
organização. 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
 
A definição do contexto da gestão de riscos deve preceder a identificação dos ativos 
de valor. 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 
 Gabarito Comentado 
 
 
 
5. 
 
 
A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de 
Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes 
e princípios gerais para iniciar, implementar, manter e melhorar a gestão 
de segurança da informação em uma organização¿. Ela se baseia no 
tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. 
Podemos definir como Requisitos do Negócio: 
 
 
 
 
Uma orientação de como a organização deve proceder para estabelecer a política de 
segurança da informação. 
 
A orientação da organização para assegurar que funcionários, fornecedores e 
terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis 
de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. 
 
São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a 
organização, seus parceiros comerciais, contratados e provedores de serviço tem que 
atender. 
 
É o conjunto de princípios e objetivos para o processamento da informação que uma 
organização tem que desenvolver para apoiar suas operações. 
 
Determina que a organização deve prevenir o acesso físico não autorizado, danos e 
interferências com as instalações e informações da organização. 
 
 Gabarito Comentado 
 
 
 
6. 
 
De acordo com as normas ABNT NBR 27001, 27002 e 27005, o 
 
 
 
documento da política de segurança da informação deve: 
 
 
ser aprovado pela direção, bem como publicado e comunicado para todos que 
tenham contato com a organização. 
 
conter o registro dos incidentes de segurança da organização. 
 
revelar informações sensíveis da organização. 
 
apresentar uma declaração de aplicabilidade dos controles de segurança da 
informação, além de definir como será o processo de gestão de riscos. 
 
conter uma declaração de comprometimento elaborada por todos aqueles que atuam 
na organização, inclusive pela direção. 
 
 Gabarito Comentado 
 
 
 
7. 
 
 
Com relação à NBR 27005, assinale a opção correta, no que se refere à 
gestão de riscos de segurança da informação. 
 
 
 
 
A definição do contexto da gestão de riscos deve preceder a identificação dos ativos 
de valor. 
 
Qualquer atividade de comunicação do risco de segurança da informação deve 
ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da 
organização. 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 
 Gabarito Comentado 
 
 
 
8. 
 
 
Segundo a Norma ISSO/IEC 27002, é essencial que a organização 
identifique os requisitos de segurança da informação, através de três 
fontes principais: 
 
 
 
 
Análise de risco, análise do impacto de negócio (BIA), classificação da informação 
 
Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais 
 
Requisitos de negócio, Análise de risco, Requisitos legais 
 
Análise de vulnerabilidades, requisitos legais e classificação da informação 
 
Classificação da informação, requisitos de negócio e análise de risco 
 
 
 
 
 
 
1. 
 
 
Para a implementação de uma regulamentação de monitoramento 
eletrônico, necessitamos atentar a alguns pontos, EXCETO: 
 
 
 
 
Os colaboradores poderão utilizar a internet corporativa para atividades lícitas em 
seu horário de descanso. 
 
Ciência por parte dos colaboradores acerca dos sistemas de monitoramento 
implantados. 
 
Colaboradores deverão estar cientes de que a empresa poderá a vir inspecionar todo 
o e qualquer arquivo trafegado na rede. 
 
Os colaboradores estão cientes que podem copiar ferramentas disponibilizados pela 
empresa para uso externo. 
 
Caso ocorra a divulgação de quaisquer informações confidenciais da empresa, 
estarão sujeitos às sanções cabíveis. 
 
 
 
 
2. 
 
 
Porque as organizações devem realizar auditorias internas do SGSI em 
intervalos regulares? 
 
 
 
 
Para determinar se os objetivos de controle, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de risco, processos e incidentes atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e incidentes atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos 
atendem aos requisitos da norma NBR ISO/IEC 27001. 
 
 Gabarito Comentado 
 
 
 
3. 
 
 
Segundo a norma ABNT NBR 27002 é essencial que a organização 
identifique os requisitos de segurança da informação. Assinale a opção 
correta. 
 
 
 
 
A cultura organizacional não influencia a adoção de abordagem e estrutura para 
implementação, monitoramento e melhoria da segurança da informação. 
 
A segurança da informação é alcançada por meio da adoção de um conjunto de 
tecnologias adequadas. 
 
No escopo legal da segurança da informação, há três controles essenciais para uma 
organização: o documento da política de segurança da informação, a atribuição de 
responsabilidades pela segurança da informação e o processamento correto das 
aplicações. 
 
Os requisitos de segurança da informação de uma organização são obtidos por três 
fontes principais, sendo a análise de riscos uma delas.Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados 
para implementação da segurança da informação é efetuada imediatamente após a 
identificação dos fatores de risco. 
 
 
 
 
4. 
 
 
Dada as assertivas, marque a opção correta: I- O risco tem duas 
dimensões: (i) probabilidade de ocorrência e (ii) impacto sobre o projeto. 
II- Dificilmente as chances de um risco ser totalmente eliminado é real. 
III- A gestão de riscos só visa o monitoramento para detecção de 
ameaças. 
 
 
 
 
Apenas III correta 
 
Apenas I correta 
 
Apenas II correta 
 
Apenas II e III corretas 
 
Apenas I e II corretas 
 
 
 
 
5. 
 
 
Porque as organizações devem realizar auditorias internas do SGSI em 
intervalos regulares? 
 
 
 
 
Para determinar se os objetivos de risco, processos e incidentes atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e incidentes atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos 
atendem aos requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
 Gabarito Comentado 
 
 
 
6. 
 
 
Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de 
um documento da política geral. Normalmente o documento de política 
geral é dividido em vários documentos. Qual das opções abaixo apresenta 
um conjunto típico destes documentos? 
 
 
 
 
Diretrizes; Normas e Relatórios 
 
Diretrizes; Normas e Procedimentos 
 
Diretrizes; Manuais e Procedimentos 
 
Manuais; Normas e Relatórios 
 
Manuais; Normas e Procedimentos 
 
 
 
 
7. 
 
 
Quando devem ser executadas as ações corretivas? 
 
 
 
 
Devem ser executadas para garantir as causas da não-conformidade com os 
requisitos do SGSI de forma a evitar a sua repetição 
 
Devem ser executadas para garantir as causas da conformidade com os requisitos do 
SGSI de forma a evitar a sua repetição 
 
Devem ser executadas para eliminar as causas da não-conformidade com os 
requisitos do SGSI de forma a evitar a sua repetição 
 
Devem ser executadas somente para eliminar o resultado da não-conformidade com 
os requisitos do SGSI de forma a evitar a sua repetição 
 
Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI 
de forma a evitar a sua repetição 
 
 Gabarito Comentado 
 
 
 
8. 
 
 
Marque a alternativa que NÃO representa uma alternativa a mitigação de 
risco: 
 
 
 
 
Transferência de risco 
 
Prevenção de risco 
 
Suposição de risco 
 
Aceitação de risco 
 
Limitação de risco 
 
AULA 8 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
 
 
 
 
1. 
 
 
Independente do tamanho, da natureza e do tipo da organização, os 
requisitos definidos pela norma são genéricos e podem ser aplicados a 
todas as organizações. Entretanto existem quatro itens que são 
obrigatórios de implementação da norma ISO/IEC 27001 em qualquer 
organização: 
 
 
 
 
Responsabilidade da direção, auditorias internas, controle de registros, sistema de 
gestão de segurança da informação. 
 
Sistema de gestão de segurança da informação, análise de risco, auditorias internas 
e melhoria do SGSI 
 
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias 
internas 
 
Sistema de gestão de segurança da informação, responsabilidade da direção, análise 
crítica do SGSI pela direção e Melhoria do SGSI 
 
Sistema de gestão de segurança da informação, classificação da informação, 
auditoria internas e análise de risco. 
 
 Gabarito Comentado 
 
 
 
2. 
 
 
Após a implantação do Sistema de Gestão de Segurança da Informação 
(SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos 
em informática da organização XPTO deve Monitorar e Analisar 
criticamente o SGSI, que compreende a atividade de: 
 
 
 
 
Aplicar as lições aprendidas de experiências de segurança da informação de outras 
organizações. 
 
Especificar os requisitos necessários para o estabelecimento, implementação, 
operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de 
Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de 
negócio da organização. 
 
Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e 
vulnerabilidades prevalecentes 
 
Especificar a forma de medir a eficácia dos controles de modo a produzir resultados 
comparáveis. 
 
Definir e medir a eficácia dos controles ou grupos de controle selecionados. 
 
 
 
 
3. 
 
Não se pode dizer que há segurança da informação, a menos que ela seja 
controladae gerenciada. A segurança da informação é um processo que 
visa minimizar os riscos a níveis aceitáveis. Um Sistema de 
Gerenciamento de Segurança da Informação (SGSI), é uma série de 
ações tomadas com o objetivo de gerenciar a segurança da informação, 
incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um 
nível aceitável, enquanto mantém em perspectiva os objetivos do negócio 
e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE 
 
 
 
GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve 
inicialmente definir: 
 
 
A abordagem de análise/avaliação das vulnerabilidades da organização. 
 
A politica de gestão de continuidade de negócio. 
 
A política do BIA. 
 
Identificar, Analisar e avaliar os riscos. 
 
Identificar e avaliar as opções para o tratamento das vulnerabilidades. 
 
 Gabarito Comentado 
 
 
 
4. 
 
 
A organização deve executar ações para melhorar continuamente a 
eficácia do SGSI. Estas ações ocorrem através: do uso da política de 
segurança, dos objetivos de segurança, resultados de auditorias, da 
análise dos eventos monitorados e através de ações: 
 
 
 
 
Corretivas e Corrigidas. 
 
Corretivas e Correção. 
 
Corretivas e Preventivas. 
 
Corrigidas e Preventivas. 
 
Prevenção e Preventivas. 
 
 
 
 
5. 
 
 
A norma ISO 27001:2005 adota uma abordagem de processo para o 
estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de 
um sistema de processos, a identificação e iterações destes processos, e 
a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado 
para estruturar todos os processos do SGSI. Podemos dizer que uma das 
características da fase "Plan" é: 
 
 
 
 
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em 
consideração os resultados das auditorias de segurança, dos incidentes de 
segurança, dos resultados das medições e sugestões. 
 
Deve formular e implementar um plano de tratamento de riscos para identificar a 
ação de gestão apropriada, implementar um plano de conscientização e treinamento 
e gerenciar as ações e os recursos do SGSI. 
 
A organização deve implementar e operar a política, controles, processos e 
procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. 
 
O escopo do SGSI alinhado com as características de negócio, da organização, sua 
localização, ativos e tecnologia. 
 
A organização deve implementar procedimentos de monitoração e análise crítica 
para detectar erros nos resultados de processamento, identificar as tentativas e 
violações de segurança bem-sucedida, e os incidente de segurança da informação.Gabarito Comentado 
 
 
 
6. 
 
 
A utilização de crachás de identificação de colaboradores numa 
organização está fundamentalmente associado a que tipo de proteção ? 
 
 
 
 
Limitação. 
 
Preventiva. 
 
Reação. 
 
Recuperação . 
 
Correção. 
 
 
 
 
7. 
 
 
No contexto da Segurança da Informação , qual das opções 
abaixo não pode ser considerada como um Problema de Segurança: 
 
 
 
 
Uma tempestade. 
 
Uma Operação Incorreta ou Erro do usuário. 
 
Uma inundação. 
 
A perda de qualquer aspecto de segurança importante para a organização. 
 
Restrição Financeira. 
 
 
 
 
8. 
 
 
A organização deve executar ações para melhorar continuamente a 
eficácia do SGSI. Estas ações ocorrem através: do uso da política de 
segurança, dos objetivos de segurança, resultados de auditorias, da 
análise dos eventos monitorados e através de ações: 
 
 
 
 
Corretivas e Preventivas 
 
Corrigidas e Preventivas 
 
Corretivas e Corrigidas 
 
Corretivas e Correção 
 
Prevenção e Preventivas 
 
 
 
 
 
 
 
1. 
 
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que 
define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar 
o objetivo do controle. 
 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar 
criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de 
negócio globais da organização. 
 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a 
todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de 
controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa 
ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas 
responsáveis precisam ser fornecidas. 
 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo 
 
 
 
claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de 
riscos em outras áreas, se necessário. 
 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: 
 
 
II. 
 
I e II. 
 
II e III. 
 
III e IV. 
 
I e III. 
 
 Gabarito Comentado 
 
 
 
2. 
 
 
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir 
que a organização certificada: 
 
 
 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais 
das empresas de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores 
práticas de segurança reconhecidas no mercado 
 
implementou um sistema para gerência da segurança da informação de acordo com os desejos de 
segurança dos funcionários e padrões comerciais. 
 
implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos 
de segurança dos Gerentes de TI. 
 
 
 
 
3. 
 
 
Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e 
prover os recursos necessários para: 
 
 
 
 
Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. 
 
Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 
 
Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos 
ativos. 
 
Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. 
 
Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores. 
 
 Gabarito Comentado 
 
 
 
4. 
 
 
Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de 
segurança da informação? 
 
 
 
 
Auditoria. 
 
Procedimentos elaborados. 
 
Suporte técnico. 
 
Segregação de funções. 
 
Conscientização dos usuários. 
 
 Gabarito Comentado 
 
 
 
5. 
 
 
Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar 
os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo 
apresenta os tipos proteção possíveis de serem aplicadas às organizações? 
 
 
 
 
Lógica, Física e Programada. 
 
Lógica, Administrativa e Contábil. 
 
Administrativa, Física e Lógica. 
 
Administrativa, Física e Programada. 
 
Administrativa, Contábil e Física. 
 
 Gabarito Comentado 
 
 
 
6. 
 
 
A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, 
a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência 
de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ? 
 
 
 
 
Desencorajamento 
 
Reação 
 
Limitação 
 
Preventiva 
 
Correção 
 
 
 
 
7. 
 
 
O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, 
industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que 
criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja 
necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da 
Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas 
definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-
Act. Podemos dizer que a empresa deve implementar na etapa Do: 
 
 
 
 
A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, 
buscando não burocratizar o funcionamento das áreas. 
 
A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações 
preventivas e corretivas necessárias para o bom funcionamento do SGSI. 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos 
resultados de processamento e identificar os incidentes de segurança da informação. 
 
O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e 
tecnologia. 
 
Selecionar objetivos de controle e controles para o tratamento de riscos. 
 
 Gabarito Comentado 
 
 
 
8. 
 
Sobre a afirmação: ¿irá definir que a informação é originária de quem diz originar, de forma a 
impedir que alterações na mensagem original confundam as partes envolvidas na comunicação. 
E, mesmo que haja alguma alteração na mensagem original, que seja passível de ser 
 
 
 
detectada¿. Podemos afirmar que estamos conceituando: 
 
 
Integridade 
 
Confiança 
 
Auditoria 
 
Não-repúdio 
 
Legalidade