GESTÃO SEGURANÇA DA INFORMAÇÃO AULAS & AVALIAÇÕES

Prévia do material em texto

Exercício: CCT0185_EX_A1_ Matrícula: 2016 
Aluno(a): MARCIO Data: 03/09/2017 15:44:31 (Finalizada) 
 
 
 1a Questão (Ref.: 201602170758) Fórum de Dúvidas (3 de 22) Saiba (3) 
 
O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de 
uma determinada ameaça causará está relacionado com qual conceito de? 
 
 
Ameaça. 
 
Risco. 
 
Impacto. 
 
Valor. 
 
Vulnerabilidade. 
 
 
 
 
 2a Questão (Ref.: 201602168050) Fórum de Dúvidas (2 de 22) Saiba (3) 
 
Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem como uma 
das suas etapas a atividade de classificação dos ativos da organização. Qual das opções abaixo não 
representa um exemplo de Ativo Intangível: 
 
 
Marca de um Produto. 
 
Sistema de Informação. 
 
Confiabilidade de um Banco. 
 
Qualidade do Serviço. 
 
Imagem da Empresa no Mercado. 
 
 
 
 
 3a Questão (Ref.: 201602170773) Fórum de Dúvidas (5 de 22) Saiba (1 de 3) 
 
Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de 
diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da 
Informação: 
 
 
Tudo aquilo que é utilizado no Balanço Patrimonial. 
 
Tudo aquilo que não possui valor específico. 
 
Tudo aquilo que tem valor para a organização. 
 
Tudo aquilo que não manipula dados. 
 
Tudo aquilo que a empresa usa como inventario contábil. 
 
 
 
 
 4a Questão (Ref.: 201602170779) Fórum de Dúvidas (2 de 22) Saiba (3) 
 
No contexto da Segurança da Informação, a medida que indica a probabilidade de uma determinada 
ameaça se concretizar, combinada com os impactos que ela trará está relacionada com qual conceito de? 
 
 
Valor. 
 
Risco. 
 
Ameaça. 
 
Impacto. 
 
Vulnerabilidade. 
 
Gabarito Comentado 
 
 
 
 5a Questão (Ref.: 201602336871) Fórum de Dúvidas (3 de 22) Saiba (3) 
 
A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar 
seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades 
principais é a disponibilidade, qual das definições abaixo expressa melhor este princípio: 
 
 
Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, 
sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de cancelamento 
posterior. 
 
Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou 
processos. 
 
Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar 
disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e 
aprovados. 
 
Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de 
maneira não autorizada e aprovada. 
 
Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre 
possível para um usuário, entidade, sistema ou processo autorizado e aprovado. 
 
 
 
 
 6a Questão (Ref.: 201602170776) Fórum de Dúvidas (5 de 22) Saiba (1 de 3) 
 
Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de 
diversas propriedade e que permitem a organização deste ativos em grupos com características 
semelhantes no que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções 
abaixo define a classificação dos tipos de ativos? 
 
 
Contábil e Não Contábil. 
 
Tangível e Intangível. 
 
Material e Tangível. 
 
Intangível e Qualitativo. 
 
Tangível e Físico. 
 
 
 
 
 7a Questão (Ref.: 201602170618) Fórum de Dúvidas (3 de 22) Saiba (3) 
 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de 
tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao 
conceito de "Informação"? 
 
 
Pode habilitar a empresa a alcançar seus objetivos estratégicos; 
 
Possui valor e deve ser protegida; 
 
Por si só não conduz a uma compreensão de determinado fato ou situação; 
 
É dado trabalhado, que permite ao executivo tomar decisões; 
 
É a matéria-prima para o processo administrativo da tomada de decisão; 
 
 
 
 
 8a Questão (Ref.: 201602168048) Fórum de Dúvidas (3 de 22) Saiba (3) 
 
Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos 
dizer que: 
 
 
A afirmativa é verdadeira somente para ameaças identificadas. 
 
A afirmativa é falsa. 
 
A afirmativa é verdadeira somente para vulnerabilidades físicas. 
 
A afirmativa é verdadeira. 
 
A afirmativa é verdadeira somente para vulnerabilidades lógicas. 
 
 
 
 
 
Exercício: CCT0185_EX_A2_ Matrícula: 2016 
Aluno(a): MARCIO Data: 03/09/2017 15:49:30 (Finalizada) 
 
 
 1a Questão (Ref.: 201602337137) Fórum de Dúvidas (3 de 9) Saiba (0) 
 
Valores são o conjunto de características de uma determinada pessoa ou organização, que determinam a 
forma como a pessoa ou organização se comportam e interagem com outros indivíduos e com o meio 
ambiente. A informação terá valor econômico para uma organização se ela gerar lucros ou se for 
alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Qual a melhor 
definição para o valor de uso de uma informação: 
 
 
É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda). 
 
Baseia-se na utilização final que se fará com a informação. 
 
Reflete o custo substitutivo de um bem. 
 
Utiliza-se das propriedades inseridas nos dados. 
 
Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a 
apenas algumas pessoas. 
 
 
 
 
 2a Questão (Ref.: 201602170642) Fórum de Dúvidas (3 de 9) Saiba (0) 
 
Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito 
de ¿Ativo de Informação¿? 
 
 
São aqueles que organizam, processam, publicam ou destroem informações. 
 
São aqueles que constroem, dão acesso, transmitem ou armazenam informações. 
 
São aqueles tratam, administram, isolam ou armazenam informações. 
 
São aqueles que produzem, processam, transmitem ou armazenam informações. 
 
São aqueles que produzem, processam, reúnem ou expõem informações. 
 
Gabarito Comentado Gabarito Comentado 
 
 
 
 3a Questão (Ref.: 201602170672) Fórum de Dúvidas (4 de 9) Saiba (0) 
 
Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos 
objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios considerados como 
fundamentais para atingir os objetivos da Segurança da Informação: 
 
 
Confidencialidade, Indisponibilidade e Integridade. 
 
Confidencialidade, Descrição e Integridade. 
 
Confidencialidade, Disponibilidade e Integridade. 
 
Confiabilidade, Disponibilidade e Integridade. 
 
Confiabilidade, Disponibilidade e Intencionalidade. 
 
Gabarito Comentado 
 
 
 
 4a Questão (Ref.: 201602170853) Fórum de Dúvidas (9) Saiba (0) 
 
As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de 
uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são 
alvos de investidasde ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de 
Vulnerabilidade na ótica da Segurança da Informação? 
 
 
Fragilidade presente ou associada a ameaças que manipulam ou processam informações . 
 
Ameaça presente ou associada a ativos que manipulam ou processam informações. 
 
Fragilidade presente ou associada a ativos que manipulam ou processam informações . 
 
Impacto presente ou associada a ativos que manipulam ou processam informações. 
 
Fragilidade presente ou associada a ativos que exploram ou processam informações . 
 
 
 
 
 5a Questão (Ref.: 201602170817) Fórum de Dúvidas (3 de 9) Saiba (0) 
 
Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que 
cada informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos 
sem causar danos à organização, podemos afirmar que ela possui qual nível de segurança? 
 
 
Secreta. 
 
Interna. 
 
Irrestrito. 
 
Confidencial. 
 
As opções (a) e (c) estão corretas. 
 
 
 
 
 6a Questão (Ref.: 201602170808) Fórum de Dúvidas (9) Saiba (0) 
 
Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que 
ferramenta? 
 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a 
Disponibilidade das Informações. 
 
Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. 
 
Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Probabilidade das Informações. 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Disponibilidade das Informações. 
 
Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201602170850) Fórum de Dúvidas (3 de 9) Saiba (0) 
 
A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar 
lucros ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das 
opções abaixo apresenta os quatro aspectos importantes para a classificação das informações? 
 
 
Confidencialidade, vulnerabilidade, disponibilidade e valor. 
 
Confidencialidade, integridade, disponibilidade e vulnerabilidade . 
 
Confiabilidade, integridade, risco e valor. 
 
Confidencialidade, integridade, disponibilidade e valor. 
 
Confiabilidade, integridade, vulnerabilidade e valor. 
 
Gabarito Comentado 
 
 
 
 8a Questão (Ref.: 201602843050) Fórum de Dúvidas (9) Saiba (0) 
 
A assinatura digital permite comprovar a autenticidade e ______________ de uma informação, ou seja, que 
ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. 
 
 
a integridade 
 
a disponibilidade 
 
a legalidade 
 
a confidencialidade 
 
o não-repúdio 
 
 
 
 
 
 
Exercício: CCT0185_EX_A3_ Matrícula: 2016 
Aluno(a): MARCIO Data: 03/09/2017 16:39:54 (Finalizada) 
 
 
 1a Questão (Ref.: 201602731980) Fórum de Dúvidas (1 de 15) Saiba (1) 
 
Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, 
intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com 
base nessa informação, analise os itens a seguir. 
 
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode 
ser explorado por vírus, cavalos de troia, negação de serviço entre outros. 
 
II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de 
informação. 
 
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. 
 
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. 
 
Representam vulnerabilidades dos ativos de informação o que consta em: 
 
 
I, III e IV, somente. 
 
I, II e IV, somente. 
 
I e III, somente. 
 
I, II, III e IV. 
 
II e III, somente. 
 
Gabarito Comentado 
 
 
 
 2a Questão (Ref.: 201602814744) Fórum de Dúvidas (1 de 15) Saiba (1) 
 
Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade. 
 
 
Firewall mal configurado. 
 
Funcionário desonesto. 
 
Links sem contingência. 
 
Rede elétrica instável. 
 
Sistema operacional desatualizado. 
 
Gabarito Comentado 
 
 
 
 3a Questão (Ref.: 201602808365) Fórum de Dúvidas (1 de 15) Saiba (1) 
 
Ataque a de modems-roteadores ADSL com o uso de uma falha de segurança existente em alguns modelos 
de equipamento. Na prática, o problema permitia que um hacker alterasse o modem-roteador para utilizar 
um determinado serviço fornecido pelo criminoso em vez do fornecido pelo provedor, redirecionando 
internautas para sites falsos. O que os hackers fazem é criar uma consulta que terá uma resposta muito 
grande do servidor de DNS e forjar a origem como se ela fosse o site alvo. Ocorre então uma multiplicação: 
o hacker consegue enviar uma consulta pequena, mas gerar para o alvo do ataque um tráfego grande. Qual 
você acha que foi o tipo de vulnerabilidade utilizada neste caso? 
 
 
Vulnerabilidade Natural. 
 
Vulnerabilidade Física. 
 
Vulnerabilidade de Mídias. 
 
Vulnerabilidade de Hardware. 
 
Vulnerabilidade de Comunicação. 
 
Gabarito Comentado 
 
 
 
 4a Questão (Ref.: 201602353857) Fórum de Dúvidas (1 de 15) Saiba (1) 
 
 
Observe a figura acima e complete corretamente a legenda dos desenhos: 
 
 
 
Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios 
 
Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos 
 
Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos 
 
Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios 
 
Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios 
 
Gabarito Comentado 
 
 
 
 5a Questão (Ref.: 201602814739) Fórum de Dúvidas (1 de 15) Saiba (1) 
 
Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas por 
ameaças, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da 
informação. Com base nessa informação, analise os itens a seguir. 
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode 
ser explorado por vírus, cavalos de troia, negação de serviço entre outros. 
II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de 
informação. 
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. 
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. 
Representam vulnerabilidades dos ativos de informação o que consta em: 
 
 
I, III e IV, somente. 
 
I, II e IV, somente. 
 
I, II, III e IV. 
 
II e III, somente. 
 
I e III, somente. 
 
Gabarito Comentado 
 
 
 
 6a Questão (Ref.: 201602674655) Fórum de Dúvidas (1 de 15) Saiba (1) 
 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo 
de usuários denominados "engenheiros". Após várias consultas com respostas corretas e imediatas, em um 
determinado momento, um usuário pertencente ao grupo "engenheiros" acessa o sistema em busca de 
uma informação jáacessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na 
segurança da informação para este sistema na propriedade relacionada à: 
 
 
Integridade 
 
Autenticidade 
 
Disponibilidade 
 
Auditoria 
 
Confidencialidade 
 
Gabarito Comentado Gabarito Comentado 
 
 
 
 
 
 7a Questão (Ref.: 201602374186) Fórum de Dúvidas (1 de 15) Saiba (1) 
 
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado 
pelas redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as 
informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o 
intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro 
ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como 
podemos definir o que são vulnerabilidades: 
 
 
É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados 
através da utilização de SQL. 
 
Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, 
criadores e disseminadores de vírus de computadores, incendiários. 
 
São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, 
tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. 
 
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou 
confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não 
autorizado a computadores ou informações. 
 
Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem 
o aparecimento de ameaças potenciais à continuidade dos negócios das organizações. 
 
 
 
 
 8a Questão (Ref.: 201602808361) Fórum de Dúvidas (1 de 15) Saiba (1) 
 
Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas tentativas de 
invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques criminosos foi a RSA 
Security, que teve diversos de seus dados roubados por hackers não identificados. O ataque por sua vez foi 
Injection em seu banco de dados. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? 
 
 
Vulnerabilidade Natural. 
 
Vulnerabilidade de Mídias. 
 
Vulnerabilidade de Software. 
 
Vulnerabilidade de Comunicação. 
 
Vulnerabilidade Física. 
 
 
Exercício: CCT0185_EX_A4_ Matrícula: 2016 
Aluno(a): MARCIO Data: 04/10/2017 22:33:37 (Finalizada) 
 
 
 1a Questão (Ref.: 201602167593) Fórum de Dúvidas (1 de 7) Saiba (1) 
 
O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um 
computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas 
bancárias e números de cartões de crédito é conhecido como: 
 
 
Keylogger 
 
backdoor 
 
exploit 
 
Spyware 
 
vírus 
 
 
 
 
 2a Questão (Ref.: 201602685361) Fórum de Dúvidas (1 de 7) Saiba (1) 
 
Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta 
correspondência com seus significados dispostos na Coluna II . 
 
Coluna I 
 
1. Spyware 
2. Adware 
3. Engenharia Social 
4. Backdoor 
5. Phishing 
 
Coluna II 
 
( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada 
ou a um arquivo malicioso. 
( ) Software que insere propagandas em outros programas. 
( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. 
( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. 
( ) Programa espião. 
 
 
A sequencia correta é: 
 
 
3, 2, 4, 5, 1. 
 
5,1,4,3,2. 
 
3, 1, 4, 5, 2. 
 
5, 2, 4, 3, 1. 
 
3, 1, 5, 2, 4. 
 
 
 
 
 3a Questão (Ref.: 201602700245) Fórum de Dúvidas (1 de 7) Saiba (1) 
 
Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo 
teclado do usuário e é enviado para o invasor ? 
 
 
Spyware 
 
Backdoor 
 
Defacement 
 
Phishing 
 
Keylogger 
 
 
 
 
 4a Questão (Ref.: 201602677711) Fórum de Dúvidas (5 de 7) Saiba (1 de 1) 
 
Desde o aparecimento do primeiro spam, em 1994, a prática de enviar e-mails não solicitados tem sido 
aplicada com vários objetivos distintos e também utilizando diferentes aplicativos e meios de propagação 
na rede. Os tipos de spam identificados até o momento são: correntes, boatos, lendas urbanas, 
propagandas, ameaças, pornografia, códigos maliciosos, fraudes e golpes. 
É muito importante que se saiba como identificar os spams, para poder detectá-los mais facilmente e agir 
adequadamente. Dentre as afirmativas abaixo marque aquelas que podemos assinalar como sendo as 
principais características dos spams: 
I. Apresentam cabeçalho suspeito. 
II. Apresentam no campo Assunto palavras com grafia errada ou suspeita. 
III. Apresentam no campo Assunto textos alarmantes ou vagos. 
IV. Oferecem opção de remoção da lista de divulgação. 
V. Prometem que serão enviados "uma única vez. 
VI. Baseiam-se em leis e regulamentações inexistentes. 
Estão corretas: 
 
 
I, II, III, V e VI 
 
Nenhuma afirmativa está correta 
 
II, IV e VI 
 
I, III e V 
 
Todas as afirmativas estão corretas 
 
Gabarito Comentado 
 
 
 
 5a Questão (Ref.: 201602353860) Fórum de Dúvidas (5 de 7) Saiba (1 de 1) 
 
As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua 
intencionalidade: 
 
 
Intencional, presencial e remota 
 
Voluntária, involuntária e intencional 
 
Intencional, proposital e natural 
 
Natural, voluntária e involuntária 
 
Natural, presencial e remota 
 
Gabarito Comentado 
 
 
 
 6a Questão (Ref.: 201602807351) Fórum de Dúvidas (5 de 7) Saiba (1 de 1) 
 
A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual de hackers mas na 
verdade estas pessoas tem amplo conhecimento de programação e noções de rede e internet, não 
desenvolvem vulnerabilidades e não tem intenção de roubar informações, estes na verdade são os crackers 
que invadem sistemas em rede ou computadores para obter vantagens muitas vezes financeiras. Verifique 
nas sentenças abaixo as que estão corretas em relação a descrição dos potenciais atacantes: I - Wannabes 
ou script kiddies São aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam 
abertamente suas façanhas e usam 99% dos casos de scripts conhecidos. II- Defacers Pessoa que Interferem 
com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou realizam chamadas 
sem tarifação. III- Pheakres São organizados em grupo, usam seus conhecimentos para invadir servidores 
que possuam páginas web e modificá-las. 
 
 
Todas as sentenças estão corretas. 
 
As sentenças I e III estão corretas. 
 
As sentenças I e II estão corretas. 
 
Apenas a sentença I está correta. 
 
As sentenças II e III estão corretas. 
 
Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201602814747) Fórum de Dúvidas (1 de 7) Saiba (1) 
 
Com relação as ameaças aos sistema de informação, assinale a opção correta: 
 
 
Spyware é um programa que permite o controle remoto do agente invasor e é capaz de se propagar 
automaticamente, pois explora vulnerabilidades existentes em programas instalados emcomputadores. 
 
Worm é um programa ou parte de um programa de computador, usualmente malicioso, que se 
propaga ao criar cópias de si mesmo e, assim, se torna parte de outros programas e arquivos. 
 
Backdoor é um programa que permite o acesso de uma máquina a um invasor de computador, pois 
assegura a acessibilidade a essa máquina em modo remoto, sem utilizar, novamente, os métodos de 
realização da invasão. 
 
Bot é um programa capaz de se propagar, automaticamente, por rede, pois envia cópias de si mesmo 
de computador para computador, por meio de execução direta ou por exploração automática das 
vulnerabilidades existentes em programas instalados em computadores. 
 
Vírus é um programa que monitora as atividades de um sistema e envia informações relativas a essas 
atividades para terceiros. Um exemplo é o vírus keylogger que é capaz de armazenar os caracteres 
digitados pelo usuário de um computador. 
 
Gabarito Comentado 
 
 
 
 8a Questão (Ref.: 201602167563) Fórum de Dúvidas (1 de 7) Saiba (1) 
 
Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, 
seja através de algum outro programa instalado em um computador pode ser descrito como sendo um: 
 
 
Spyware 
 
Adware 
 
Worm 
 
Active-x 
 
Java Script 
 
 
Exercício: CCT0185_EX_A5_ Matrícula: 2016 
Aluno(a): MARCIO Data: 12/11/2017 12:15:52 (Finalizada) 
 
 
 1a Questão (Ref.: 201602167617) Fórum de Dúvidas (3 de 7) Saiba (1) 
 
João e Pedro são administrador de sistemas de uma importante empresa e estão instalando uma nova 
versão do sistema operacional Windows para máquinas servidoras. Durante a instalação Pedro percebeu 
que existem uma série de exemplos de códigos já prontos para serem executados, facilitando assim o 
trabalho de administração do sistema. Qual o tipo de ataque que pode acontecer nesta situação? 
 
 
Fraggle 
 
Smurf 
 
Shrink Wrap Code 
 
Phishing Scan 
 
Dumpster Diving ou Trashing 
 
Gabarito Comentado 
 
 
 
 2a Questão (Ref.: 201602167640) Fórum de Dúvidas (2 de 7) Saiba (1 de 1) 
 
Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual 
das opções abaixo Não representa um destes passos? 
 
 
Obtenção de Acesso 
 
Camuflagem das Evidências 
 
Exploração das Informações 
 
Levantamento das Informações 
 
Divulgação do Ataque 
 
 
 
 
 3a Questão (Ref.: 201602337281) Fórum de Dúvidas (3 de 7) Saiba (1) 
 
Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram 
vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas 
nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma 
reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria 
a melhor forma de definir a fase de "Levantamento das informações" nesta receita: 
 
 
É uma fase preparatória onde o atacante procura coletar o maior número possível de 
informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. 
 
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também 
protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de 
rootkits, backdoors ou trojans. 
 
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não 
autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização 
indevida dos recursos computacionais. 
 
Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as 
vulnerabilidades encontradas no sistema. 
 
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de 
reconhecimento. 
 
 
 
 
 4a Questão (Ref.: 201602167642) Fórum de Dúvidas (3 de 7) Saiba (1) 
 
Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções 
abaixo Não representa um destes tipos de ataques? 
 
 
Ataque aos Sistemas Operacionais 
 
Ataque para Obtenção de Informações 
 
Ataques Genéricos 
 
Ataque à Aplicação 
 
Ataque de Configuração mal feita 
 
 
 
 
 5a Questão (Ref.: 201602342500) Fórum de Dúvidas (3 de 7) Saiba (1) 
 
Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de 
várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, 
começa com uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um 
banco, uma empresa de cartão de crédito ou um site de comércio eletrônico. 
 
 
Hijackers. 
 
Wabbit. 
 
Trojans. 
 
Phishing. 
 
Exploits. 
 
Gabarito Comentado 
 
 
 
 6a Questão (Ref.: 201602808908) Fórum de Dúvidas (3 de 7) Saiba (1) 
 
Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Ocorre na 
camada de transporte do modelo OSI. É realizado um mapeamento das portas do protocolos TCP e UDP 
abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em 
cada porta. Qual seria este ataque: 
 
 
Fraggle. 
 
Port Scanning. 
 
Syn Flooding. 
 
Ip Spoofing. 
 
Packet Sniffing. 
 
Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201602808917) Fórum de Dúvidas (3 de 7) Saiba (1) 
 
Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Consiste na 
verificação do lixo em busca de informações que possam facilitar o ataque. É uma técnica eficiente e muito 
utilizada e que pode ser considerada legal visto que não existem leis a respeito dos lixos. Neste caso é 
interessante que as informações críticas da organização (planilhas de custos, senhas e outros dados 
importantes) sejam triturados ou destruídos de alguma forma. Qual seria este ataque: 
 
 
Syn Flooding. 
 
Port Scanning. 
 
Dumpster diving ou trashing. 
 
Ip Spoofing. 
 
Packet Sniffing. 
 
Gabarito Comentado 
 
 
 
 8a Questão (Ref.: 201602167634) Fórum de Dúvidas (3 de 7) Saiba (1) 
 
Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço 
específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados 
em cada computador ? 
 
 
Ataque á Aplicação 
 
Ataques de códigos pré-fabricados 
 
Ataque aos Sistemas Operacionais 
 
Ataque de Configuração mal feita 
 
Ataque para Obtenção de Informações 
 
 
Exercício: CCT0185_EX_A6_ Matrícula: 2016 
Aluno(a): MARCIO Data: 12/11/2017 12:23:02 (Finalizada) 
 
 
 1a Questão (Ref.: 201602353866) Fórum de Dúvidas (1 de 5) Saiba (1) 
 
Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra um 
determinado risco está muito além das possibilidades da organização e portanto não vale a pena tratá-lo. 
Neste caso você: 
 
 
Ignora o risco 
 
Trata o risco a qualquer custo 
 
Aceita o risco 
 
Comunica o risco 
 
Rejeita o risco 
 
 
 
 
 2a Questão (Ref.: 201602700224) Fórum de Dúvidas (5) Saiba (1) 
 
Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de 
obter informações pessoais de usuários de sites da Internet ou site corporativo ? 
 
 
PhishingBackdoor 
 
Rootkit 
 
Defacement 
 
Spyware 
 
 
 
 
 3a Questão (Ref.: 201602167655) Fórum de Dúvidas (1 de 5) Saiba (1) 
 
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da 
Informação: 
 
 
Probabilidade de um incidente ocorrer mais vezes. 
 
Probabilidade de um ativo explorar uma ameaça. 
 
Probabilidade de um ativo explorar uma vulnerabilidade. 
 
Probabilidade de uma ameaça explorar um incidente. 
 
Probabilidade de uma ameaça explorar uma vulnerabilidade 
 
 
 
 
 4a Questão (Ref.: 201602337314) Fórum de Dúvidas (1 de 5) Saiba (1) 
 
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira 
corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma 
combinação de ambas. Neste sentido podemos definir a barreira "Deter": 
 
 
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o 
negócio. 
 
Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as 
ameaças. 
 
Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os 
acessos, definindo perfis e autorizando permissões. 
 
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e 
instrumentem os gestores da segurança na detecção de situações de risco. 
 
Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de 
segurança da informação. 
 
Gabarito Comentado 
 
 
 
 5a Questão (Ref.: 201602167666) Fórum de Dúvidas (2 de 5) Saiba (1) 
 
Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da 
Informação: 
 
 
Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos 
 
Tudo aquilo que tem origem para causar algum tipo de erro nos ativos 
 
Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos 
 
Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos 
 
Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. 
 
 
 
 
 6a Questão (Ref.: 201602374420) Fórum de Dúvidas (2 de 5) Saiba (1) 
 
Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de 
operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes 
riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação 
significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles (soluções e 
ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" 
na Análise e Avaliação dos Riscos: 
 
 
Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos 
componentes do risco que foram levantados. 
 
Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do 
dano, reduzi-lo ou impedir que se repita. 
 
Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de 
vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou 
sua capacidade de gerar efeitos adversos na organização. 
 
Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com 
menções mais subjetivas como alto, médio e baixo. 
 
A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos 
os componentes associados ao risco.O risco é representando em termos de possíveis perdas 
financeiras. 
 
Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201602700235) Fórum de Dúvidas (2 de 5) Saiba (1) 
 
Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta especificamente um 
dos três elementos da tríade da segurança da informação. Qual é o ataque ? 
 
 
Adware 
 
0day 
 
Backdoor 
 
DoS/DDoS 
 
Spyware 
 
Gabarito Comentado 
 
 
 
 8a Questão (Ref.: 201602167651) Fórum de Dúvidas (2 de 5) Saiba (1) 
 
Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as 
medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é 
eliminada. Neste caso estamos nos referindo a que tipo de risco: 
 
 
Risco real; 
 
Risco verdadeiro; 
 
Risco tratado; 
 
Risco percebido; 
 
Risco residual; 
 
 
 
 
Exercício: CCT0185_EX_A7_ Matrícula: 2016 
Aluno(a): MARCIO Data: 12/11/2017 13:31:40 (Finalizada) 
 
 
 1a Questão (Ref.: 201602255324) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a 
organização certificada: 
 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com os desejos de 
segurança dos funcionários e padrões comerciais. 
 
implementou um sistema para gerência da segurança da informação de acordo fundamentado nos 
desejos de segurança dos Gerentes de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões 
nacionais das empresas de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões e 
melhores práticas de segurança reconhecidas no mercado. 
 
Gabarito Comentado 
 
 
 
 2a Questão (Ref.: 201602849413) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de segurança da 
informação. Assinale a opção correta. 
 
 
A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, 
monitoramento e melhoria da segurança da informação. 
 
No escopo legal da segurança da informação, há três controles essenciais para uma organização: o 
documento da política de segurança da informação, a atribuição de responsabilidades pela segurança 
da informação e o processamento correto das aplicações. 
 
A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias 
adequadas. 
 
Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para 
implementação da segurança da informação é efetuada imediatamente após a identificação dos 
fatores de risco. 
 
Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, 
sendo a análise de riscos uma delas. 
 
 
 
 
 3a Questão (Ref.: 201602167672) Fórum de Dúvidas (4) Saiba (0) 
 
Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de 
uma: 
 
 
Identificação/avaliação sistemática dos eventos de segurança da informação 
 
Análise/revisão sistemática dos ativos de segurança da informação 
 
Análise/orientação sistemática dos cenários de segurança da informação 
 
Análise/avaliação sistemática dos riscos de segurança da informação 
 
Análise/avaliação sistemática dos incidentes de segurança da informação 
 
 
 
 
 4a Questão (Ref.: 201603012158) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
Os processos que envolvem a gestão de risco são, exceto: 
 
 
Identificar os riscos 
 
Gerenciar as respostas aos riscos 
 
Realizar a análise qualitativado risco 
 
Planejar o gerenciamento de risco 
 
Realizar a análise quantitativa do risco 
 
 
 
 
 5a Questão (Ref.: 201602255318) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
 
 
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 
 
 
 
 6a Questão (Ref.: 201602168000) Fórum de Dúvidas (4) Saiba (0) 
 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde 
são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu 
incorporar à sua gestão de acordo com a visão estratégica da alta direção? 
 
 
Manuais. 
 
Diretrizes. 
 
Normas. 
 
Procedimentos. 
 
Relatório Estratégico. 
 
Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201602168035) Fórum de Dúvidas (4) Saiba (0) 
 
Quando devem ser executadas as ações corretivas? 
 
 
Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de 
forma a evitar a sua repetição 
 
Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a 
evitar a sua repetição 
 
Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de 
forma a evitar a sua repetição 
 
Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a 
evitar a sua repetição 
 
Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do 
SGSI de forma a evitar a sua repetição 
 
Gabarito Comentado 
 
 
 
 8a Questão (Ref.: 201603012165) Fórum de Dúvidas (2 de 4) Saiba (0) 
 
Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: 
 
 
Aceitação de risco 
 
Prevenção de risco 
 
Suposição de risco 
 
Limitação de risco 
 
Transferência de risco 
 
 
Exercício: CCT0185_EX_A8_ Matrícula: 2016 
Aluno(a): MARCIO Data: 12/11/2017 18:16:21 (Finalizada) 
 
 
 1a Questão (Ref.: 201602343571) Fórum de Dúvidas (1 de 4) Saiba (1) 
 
Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A 
segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de 
Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de 
gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um 
nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para 
estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve 
inicialmente definir: 
 
 
A politica de gestão de continuidade de negócio. 
 
A abordagem de análise/avaliação das vulnerabilidades da organização. 
 
Identificar, Analisar e avaliar os riscos. 
 
A política do BIA. 
 
Identificar e avaliar as opções para o tratamento das vulnerabilidades. 
 
 
 
 
 2a Questão (Ref.: 201602374560) Fórum de Dúvidas (1 de 4) Saiba (1) 
 
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com 
o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua 
gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do 
SGSI. Podemos dizer que uma das características da fase "Plan" é: 
 
 
Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão 
apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os 
recursos do SGSI. 
 
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os 
resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições 
e sugestões. 
 
A organização deve implementar e operar a política, controles, processos e procedimentos do 
SGSI, buscando não burocratizar o funcionamento das áreas. 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar 
erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-
sucedida, e os incidente de segurança da informação. 
 
O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, 
ativos e tecnologia. 
 
Gabarito Comentado 
 
 
 
 3a Questão (Ref.: 201602168038) Fórum de Dúvidas (1 de 4) Saiba (1) 
 
A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente 
associado a que tipo de proteção ? 
 
 
Limitação. 
 
Correção. 
 
Reação. 
 
Preventiva. 
 
Recuperação . 
 
 
 
 
 4a Questão (Ref.: 201602168040) Fórum de Dúvidas (1 de 4) Saiba (1) 
 
No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um 
Problema de Segurança: 
 
 
Restrição Financeira. 
 
Uma Operação Incorreta ou Erro do usuário. 
 
A perda de qualquer aspecto de segurança importante para a organização. 
 
Uma tempestade. 
 
Uma inundação. 
 
 
 
 
 5a Questão (Ref.: 201602255321) Fórum de Dúvidas (1 de 4) Saiba (1) 
 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise 
dos eventos monitorados e através de ações: 
 
 
Corrigidas e Preventivas 
 
Corretivas e Corrigidas 
 
Corretivas e Preventivas 
 
Prevenção e Preventivas 
 
Corretivas e Correção 
 
 
 
 
 6a Questão (Ref.: 201602677767) Fórum de Dúvidas (1 de 4) Saiba (1) 
 
Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os 
recursos necessários para: 
 
 
Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem 
causar aos ativos. 
 
Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. 
 
Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. 
 
Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 
 
Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores. 
 
Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201602685348) Fórum de Dúvidas (1 de 4) Saiba (1) 
 
Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da 
informação? 
 
 
Suporte técnico. 
 
Conscientização dos usuários. 
 
Segregação de funções. 
 
Auditoria. 
 
Procedimentos elaborados. 
 
Gabarito Comentado 
 
 
 
 8a Questão (Ref.: 201602353878) Fórum de Dúvidas (1 de 4) Saiba (1)Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são 
genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são 
obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: 
 
 
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de 
segurança da informação. 
 
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do 
SGSI 
 
Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI 
pela direção e Melhoria do SGSI 
 
Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e 
análise de risco. 
 
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas 
 
 
 
 
 
 
Exercício: CCT0185_EX_A9_ Matrícula: 2016 
Aluno(a): MARCIO Data: 12/11/2017 18:43:51 (Finalizada) 
 
 
 1a Questão (Ref.: 201602353883) Fórum de Dúvidas (2 de 2) Saiba (0) 
 
Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que 
as organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o 
perfeito dimensionamento das demais fases de elaboração do plano de continuidade ? 
 
 
Análise de impacto dos negócios (BIA) 
 
Análise de risco 
 
Auditoria interna 
 
Classificação da informação 
 
Análise de vulnerabilidade 
 
Gabarito Comentado 
 
 
 
 2a Questão (Ref.: 201602849441) Fórum de Dúvidas (2 de 2) Saiba (0) 
 
A gestão de continuidade de negócio envolve prioritariamente os seguintes processos: 
 
 
Investigação e diagnóstico; resolução de problemas; recuperação 
 
Análise de impacto no negócio; avaliação de risco; plano de contingência 
 
Tratamento de incidentes; solução de problemas; acordo de nível de operação 
 
Gestão de configuração; planejamento de capacidade; gestão de mudança 
 
Plano de redundância; análise de risco; planejamento de capacidade 
 
 
 
 
 3a Questão (Ref.: 201602685350) Fórum de Dúvidas (2) Saiba (0) 
 
Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação 
de Desastres (PRD)? 
 
 
O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre 
somente os ativos de informação. 
 
O PCN só pode ser implementado se o PRD já tiver em uso. 
 
O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à 
reparação dos danos causados. 
 
O PRD é mais abrangente que o PCN. 
 
O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o 
PCN foca-se na continuidade para todos os processos. 
 
 
 
 
 4a Questão (Ref.: 201602677771) Fórum de Dúvidas (2 de 2) Saiba (0) 
 
De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de 
continuidade do negócio (GCN). 
 
 
A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a 
incidentes, de continuidade e de comunicação. 
 
A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de 
interrupção das atividades críticas da organização. 
 
GCN é uma abordagem alternativa à gestão de riscos de segurança da informação. 
 
GCN é a fase inicial da implantação da gestão de continuidade em uma organização. 
 
A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços 
e(ou) atividades críticas e recursos de suporte de uma organização. 
 
Gabarito Comentado 
 
 
 
 5a Questão (Ref.: 201602248320) Fórum de Dúvidas (2 de 2) Saiba (0) 
 
Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. 
Qual das opções abaixo não está em conformidade com as orientações da norma citada? 
 
 
Controlar o incidente 
 
Comunicar-se com as partes interessadas 
 
Afastar o incidente do cliente 
 
Confirmar a natureza e extensão do incidente 
 
Tomar controle da situação 
 
Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201602248322) Fórum de Dúvidas (2) Saiba (0) 
 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. 
Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as 
ações que você deve realizar: 
 
 
Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e 
serviços fundamentais para a organização. 
 
Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e 
serviços desnecessários para a organização. 
 
Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e 
serviços fundamentais para a organização. 
 
Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega 
de produtos e serviços fundamentais para a organização. 
 
Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e 
serviços desnecessários para a organização. 
 
Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201602248331) Fórum de Dúvidas (2) Saiba (0) 
 
Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações 
? 
 
 
Planejamento, estudo e implementação do programa 
 
Planejamento, maturação e desenvolvimento 
 
Planejamento, desenvolvimento e implementação do programa 
 
Manutenção, implementação do programa e maturação 
 
Manutenção, desenvolvimento e implementação do programa 
 
 
 
 
 8a Questão (Ref.: 201602170811) Fórum de Dúvidas (2) Saiba (0) 
 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que 
trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo 
possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na 
segurança da informação relacionada à: 
 
 
Não-Repúdio; 
 
Autenticidade; 
 
Integridade; 
 
Auditoria; 
 
Confidencialidade; 
 
 
 
 
 
Exercício: CCT0185_EX_A10_ Matrícula: 2016 
Aluno(a): MARCIO Data: 12/11/2017 19:14:16 (Finalizada) 
 
 
 1a Questão (Ref.: 201602248339) Fórum de Dúvidas (4) Saiba (1) 
 
Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um 
comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns 
servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está 
ocorrendo no tráfego da rede. Neste caso você irá utilizar: 
 
 
Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede 
 
Um detector de intrusão para realizar a análise do tráfego da rede 
 
Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall 
 
Um analisador de protocolo para auxiliar na análise do tráfego da rede 
 
Um sniffer de rede, para analisar o tráfego da rede 
 
 
 
 
 2a Questão (Ref.: 201602248349) Fórum de Dúvidas (4) Saiba (1) 
 
Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é 
correto afirmar que? 
 
 
A criptografia simétrica ou de chave pública, quando o emissore receptor não utilizam chaves 
diferentes 
 
A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas 
chaves 
 
A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves 
diferentes 
 
A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a 
mesma chave 
 
A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma 
chave 
 
Gabarito Comentado Gabarito Comentado 
 
 
 
 3a Questão (Ref.: 201602849451) Fórum de Dúvidas (4) Saiba (1) 
 
A sub-rede, também conhecida como rede de perímetro, utilizada para transmitir informações entre uma 
rede confiável e uma não confiável, mantendo os serviços que possuem acesso externo separados da rede 
local, é chamada de: 
 
 
VPN 
 
Intranet 
 
DMZ 
 
Firewall 
 
Proxy 
 
Gabarito Comentado 
 
 
 
 4a Questão (Ref.: 201603012162) Fórum de Dúvidas (4) Saiba (1) 
 
São exemplos de ativos associados a sistemas (pertinentes para a identificação de ameaças), exceto: 
 
 
Informação 
 
Softwares 
 
Hardware 
 
Pessoas 
 
Serviços 
 
 
 
 
 5a Questão (Ref.: 201602248344) Fórum de Dúvidas (4) Saiba (1) 
 
Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser 
classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar 
a conexão ou não a um serviço em uma rede modo indireto ? 
 
 
Firewall com Estado 
 
Firewall Indireto 
 
Firewall Proxy 
 
Firewall de Borda 
 
Filtro com Pacotes 
 
 
 
 
 6a Questão (Ref.: 201602248336) Fórum de Dúvidas (4) Saiba (1) 
 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. 
Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise 
a opção que melhor retrata a estratégia a ser definida: 
 
 
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de 
incidentes e seus efeitos. 
 
A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade 
de ocorrência de incidentes e seus efeitos. 
 
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de 
incidentes e seus efeitos. 
 
A organização deve implementar medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
 
A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de 
incidentes e seus efeitos. 
 
Gabarito Comentado 
 
 
 
 7a Questão (Ref.: 201602719214) Fórum de Dúvidas (4) Saiba (1) 
 
Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um 
comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns 
servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está 
ocorrendo no tráfego da rede. Neste caso você irá utilizar: 
 
 
Um firewall para auxiliar na análise do tráfego da rede 
 
Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede 
 
Um analisador de espectro de rede, para analisar o tráfego da rede 
 
Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall 
 
Um detector de intrusão para realizar a análise do tráfego da rede 
 
Gabarito Comentado 
 
 
 
 8a Questão (Ref.: 201602199981) Fórum de Dúvidas (4) Saiba (1) 
 
O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de: 
 
 
confirmar a identidade do usuário. 
 
testar a aptidão visual do usuário para decidir sobre a folha de estilo CSS a ser utilizada nas páginas 
subseqüentes. 
 
controlar a expiração da sessão do usuário, caso o mesmo possua cookies desabilitados em seu 
navegador. 
 
criptografar os dados enviados através do formulário para impedir que os mesmos sejam 
interceptados em curso. 
 
confirmar que o formulário está sendo preenchido por um usuário humano e não por um 
computador. 
 
 
Avaiação Parcial: CCT0185_SM_201602098808 V.1 
Aluno(a): MARCIO HENRIQUES DE MELLO Matrícula: 201602098808 
Acertos: 10,0 de 10,0 Data: 22/10/2017 12:47:58 (Finalizada) 
 
 
 1a Questão (Ref.: 201602170618) Acerto: 1,0 / 1,0 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a 
utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções 
abaixo não se aplica ao conceito de "Informação"? 
 
 
Por si só não conduz a uma compreensão de determinado fato ou situação; 
 
Possui valor e deve ser protegida; 
 
É a matéria-prima para o processo administrativo da tomada de decisão; 
 
É dado trabalhado, que permite ao executivo tomar decisões; 
 
Pode habilitar a empresa a alcançar seus objetivos estratégicos; 
 
 
 
 2a Questão (Ref.: 201602170766) Acerto: 1,0 / 1,0 
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o 
modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da 
informação apóia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das 
opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia 
da informação nas empresas? 
 
 
Apoio à tomada de decisão empresarial 
 
Apoio às Estratégias para vantagem competitiva 
 
Apoio aos Processos 
 
Apoio às Operações 
 
Apoio ao uso da Internet e do ambiente wireless 
 
 
 
 3a Questão (Ref.: 201602170809) Acerto: 1,0 / 1,0 
Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de 
confidencialidade quanto pela de disponibilidade¿. Esta afirmação é: 
 
 
verdadeira desde que seja considerada que todas as informações são publicas. 
 
verdadeira se considerarmos que o nível não deve ser mudado. 
 
falsa, pois não existe alteração de nível de segurança de informação. 
 
verdadeira, pois a classificação da informação pode ser sempre reavaliada. 
 
falsa, pois a informação não deve ser avaliada pela sua disponibilidade. 
 
 
 
 4a Questão (Ref.: 201602170852) Acerto: 1,0 / 1,0 
A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado 
um elemento fundamental para: 
 
 
A gestão da área comercial. 
 
A gestão do ciclo da informação interna. 
 
A gestão dos negócios da organização . 
 
A gestão dos usuários. 
 
A gestão de orçamento. 
 
 
 
 5a Questão (Ref.: 201602808361) Acerto: 1,0 / 1,0 
Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas 
tentativas de invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques 
criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não 
identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o 
tipo de vulnerabilidade utilizada neste caso? 
 
 
Vulnerabilidade de Software. 
 
Vulnerabilidade de Comunicação. 
 
Vulnerabilidade Física. 
 
Vulnerabilidade de Mídias. 
 
Vulnerabilidade Natural. 
 
 
 
 6a Questão (Ref.: 201602814741) Acerto: 1,0 / 1,0 
Em um processo de análise de riscos em TI, uma avaliação da vulnerabilidade depende das 
avaliações e.... 
 
 
das ameaças e das contramedidas.do ativo e das ameaças. 
 
do risco e dos controles. 
 
dos controles e do risco residual. 
 
do ativo e dos controles. 
Gabarito Comentado. 
 
 
 
 7a Questão (Ref.: 201602807354) Acerto: 1,0 / 1,0 
As ameaças aproveitam das falhas de segurança da organização, que é considerado como ponto 
fraco, provocando possíveis danos, perdas e prejuízos aos negócios da empresa. Elas são constantes 
podendo acontecer a qualquer momento. Portanto é necessário conhecer profundamente qualquer 
tipo de vulnerabilidades para que não sejam comprometidos os princípios que se refere à segurança 
da informação. Quanto a sua intencionalidade elas podem ser classificadas como: 
 
 
Naturais, Involuntárias e voluntárias. 
 
Comunicação, Físicas e Hardware. 
 
Software, Hardware e Firmware. 
 
Físicas, Lógicas e Naturais. 
 
Humanas, Mídias e Comunicação. 
Gabarito Comentado. 
 
 
 
 8a Questão (Ref.: 201602168053) Acerto: 1,0 / 1,0 
Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem 
impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes 
para uma mesma ameaça¿. Podemos dizer que é: 
 
 
falsa, pois os impactos são sempre iguais para ameaças diferentes. 
 
falsa, pois não devemos considerar que diferentes ameaças existem . 
 
falsa, pois não depende do ativo afetado. 
 
parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. 
 
verdadeira 
 
 
 
 9a Questão (Ref.: 201602167599) Acerto: 1,0 / 1,0 
Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de 
um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao 
banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de 
 
 
Fragmentação de Pacotes IP 
 
SQL Injection 
 
Smurf 
 
Buffer Overflow 
 
Fraggle 
Gabarito Comentado. Gabarito Comentado. 
 
 
 
 10a Questão (Ref.: 201602167637) Acerto: 1,0 / 1,0 
Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir 
máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores 
indisponíveis pela sobrecarga ao invés da invasão? 
 
 
Phishing Scan 
 
Source Routing 
 
SQL Injection 
 
DDos 
 
Shrink wrap code 
 
 
 
 
 
 
 
 
 
Avaiação Parcial: CCT0185_SM_2016 AV1 
Aluno(a): MARCIO Matrícula: 2016 
Acertos: 10,0 de 10,0 Data: 22/10/2017 13:01:05 (Finalizada) 
 
 
 1a Questão (Ref.: 201602170666) Acerto: 1,0 / 1,0 
Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma 
como a tecnologia da informação tem apóiado as operações das empresas, qual das opções abaixo não é 
verdadeira quando tratamos do conceito de ¿Informação¿ ? 
 
 
A informação é vital para o processo de tomada de decisão de qualquer corporação. 
 
Deve ser disponibilizada sempre que solicitada. 
 
É fundamental proteger o conhecimento gerado. 
 
É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. 
 
Pode conter aspectos estratégicos para a Organização que o gerou. 
Gabarito Comentado. 
 
 
 
 2a Questão (Ref.: 201602342484) Acerto: 1,0 / 1,0 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo 
de usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um 
determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de 
uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na 
segurança da informação para este sistema na propriedade relacionada à: 
 
 
Confidencialidade 
 
Integridade 
 
Privacidade 
 
Auditoria 
 
Disponibilidade 
 
 
 
 3a Questão (Ref.: 201602170808) Acerto: 1,0 / 1,0 
Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que 
ferramenta? 
 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a 
Disponibilidade das Informações. 
 
Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Disponibilidade das Informações. 
 
Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Probabilidade das Informações. 
Gabarito Comentado. 
 
 
 
 4a Questão (Ref.: 201602170855) Acerto: 1,0 / 1,0 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor está 
associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se 
for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Segundo os 
conceitos da Segurança da Informação, onde devemos proteger as informações? 
 
 
Nas Vulnerabilidades e Ameaças. 
 
Nas Ameaças. 
 
Nos Ativos . 
 
Nos Riscos. 
 
Nas Vulnerabilidades. 
Gabarito Comentado. 
 
 
 
 5a Questão (Ref.: 201602843474) Acerto: 1,0 / 1,0 
Analise o trecho abaixo: 
"Além da falta de água nas torneiras, a crise hídrica começa agora a afetar também a distribuição de energia 
elétrica no país. Cidades de ao menos sete unidades federativas do Brasil e no Distrito Federal registraram 
cortes severos, na tarde desta segunda-feira." Jornal O DIA, em 19/01/2015. 
Neste caso as empresas de Tecnologia que estão localizadas no município apresentam a vulnerabilidade do 
tipo: 
 
 
Natural 
 
Física 
 
Mídia 
 
Comunicação 
 
Hardware 
Gabarito Comentado. 
 
 
 
 6a Questão (Ref.: 201602674655) Acerto: 1,0 / 1,0 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo 
de usuários denominados "engenheiros". Após várias consultas com respostas corretas e imediatas, em um 
determinado momento, um usuário pertencente ao grupo "engenheiros" acessa o sistema em busca de 
uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na 
segurança da informação para este sistema na propriedade relacionada à: 
 
 
Integridade 
 
Auditoria 
 
Confidencialidade 
 
Autenticidade 
 
Disponibilidade 
Gabarito Comentado. Gabarito Comentado. 
 
 
 
 7a Questão (Ref.: 201602167584) Acerto: 1,0 / 1,0 
As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus 
ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis 
classificações das ameaças quanto a sua intencionalidade? 
 
 
Naturais, Involuntárias e Obrigatórias. 
 
Naturais, Voluntarias e Obrigatórias. 
 
Naturais, Involuntárias e Voluntarias. 
 
Naturais, Voluntarias e Vulneráveis. 
 
Ocasionais, Involuntárias e Obrigatórias. 
 
 
 
 8a Questão (Ref.: 201602337243) Acerto: 1,0 / 1,0 
Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As 
consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores 
alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de 
arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a 
outros tipos de ataques. Em relação a classificaçãodas ameaças podemos definir como ameaças 
involuntárias: 
 
 
Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser 
ocasionados por falha no treinamento, acidentes, erros ou omissões. 
 
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas 
comunicações. 
 
Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e 
etc. 
 
Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, 
terremotos e etc. 
 
Erros propositais de instalação ou de configuração possibilitando acessos indevidos. 
 
 
 
 9a Questão (Ref.: 201602808922) Acerto: 1,0 / 1,0 
Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Se dá através 
do envio de mensagem não solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas 
para furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de 
dados pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma 
instituição conhecida, como um banco, empresa ou site popular. Qual seria este ataque: 
 
 
Packet Sniffing. 
 
Dumpster diving ou trashing. 
 
Phishing Scam. 
 
Port Scanning. 
 
Ip Spoofing. 
Gabarito Comentado. 
 
 
 
 10a Questão (Ref.: 201602700114) Acerto: 1,0 / 1,0 
Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir posteriormente o acesso 
à máquina invadida para o atacante ? 
 
 
Backdoor 
 
Rootkit 
 
Worm 
 
Spam 
 
0Day 
 
 
 
 
 
 
 
Avaiação Parcial: CCT0185_SM_2016 AV2 
Aluno(a): MARCIO Matrícula: 2016 
Acertos: 10,0 de 10,0 Data: 22/10/2017 13:14:02 (Finalizada) 
 
 
 1a Questão (Ref.: 201602170757) Acerto: 1,0 / 1,0 
O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo 
danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual 
conceito? 
 
 
Ameaça. 
 
Risco. 
 
Impacto. 
 
Vulnerabilidade. 
 
Valor. 
Gabarito Comentado. 
 
 
 
 2a Questão (Ref.: 201602843008) Acerto: 1,0 / 1,0 
O propósito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos 
recursos disponíveis (pessoas, materiais, equipamentos, tecnologia, dinheiro e informação). Neste contexto 
podemos a afirmar que ________________________é o elemento identificado em sua forma bruta e que 
por si só não conduz a uma compreensão de determinado fato ou situação. 
 
 
o arquivo 
 
o conhecimento 
 
o dado 
 
a informação 
 
o registro 
Gabarito Comentado. Gabarito Comentado. 
 
 
 
 3a Questão (Ref.: 201602843056) Acerto: 1,0 / 1,0 
A assinatura digital permite comprovar ______________ e Integridade de uma informação, ou seja, que ela 
foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. 
 
 
A Legalidade 
 
A Disponibilidade 
 
A Confidencialidade 
 
A autenticidade 
 
O Não-repúdio 
 
 
 
 4a Questão (Ref.: 201602927562) Acerto: 1,0 / 1,0 
Sobre o conceito: " [...] é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em 
desiquilíbrio operacional e, eventualmente, a perdas financeiras ou de confiabilidade perante o cliente 
externo". Tal conceituação refere-se a qual tipo de informação, no que tange ao nível de prioridade da 
mesma, segundo Wadlow (2000)? 
 
 
Informação secreta 
 
Informação Interna 
 
Informação Pública 
 
Informação confidencial 
 
Nenhuma das alternativas anteriores 
 
 
 
 5a Questão (Ref.: 201602674660) Acerto: 1,0 / 1,0 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de 
acordo com a ABNT NBR ISO/IEC 27005. 
 
 
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem 
humana. 
 
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de 
incidentes de segurança. 
 
As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de 
riscos. 
 
O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
 
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente 
estabelecido. 
Gabarito Comentado. 
 
 
 
 6a Questão (Ref.: 201602843464) Acerto: 1,0 / 1,0 
Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões entre a 
presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de 
saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria compartilhe as 
informações confidenciais que possui. Neste caso estamos falando de vulnerabilidade do tipo: 
 
 
Natural 
 
Comunicação 
 
Física 
 
Mídia 
 
Humana 
Gabarito Comentado. 
 
 
 
 7a Questão (Ref.: 201602732001) Acerto: 1,0 / 1,0 
Analise as seguintes afirmativas sobre ameaças à Segurança da Informação: 
 
I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa desejado pelo 
usuário, com o objetivo de obter dados não autorizados do usuário. 
 
II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se propagar de um 
computador para outro. 
 
III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de remetentes 
falsos. 
 
Estão CORRETAS as afirmativas: 
 
 
I e III, apenas. 
 
I, II e III. 
 
II e III, apenas. 
 
I e II, apenas. 
 
II apenas 
Gabarito Comentado. 
 
 
 
 8a Questão (Ref.: 201602167595) Acerto: 1,0 / 1,0 
Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? 
 
 
Ativo 
 
Fraco 
 
Forte 
 
Secreto 
 
Passivo 
Gabarito Comentado. 
 
 
 
 9a Questão (Ref.: 201602808815) Acerto: 1,0 / 1,0 
Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital as empresas 
se viram obrigadas a pensar na segurança de suas informações para evitar ameaças e golpes. Assim, a 
segurança da informação surgiu para reduzir possíveis ataques aos sistemas empresariais e domésticos. 
Resumindo, a segurança da informação é uma maneira de proteger os sistemas de informação contra 
diversos ataques, ou seja, mantendo documentações e arquivos. Podemos citar como ítens básicos, 
reconhecidos, de um ataque a sistemas de informação: 
 
 
Engenharia Social, Invasão do sistema e Alteração das informções. 
 
Adequação das informações, Pressão sobre os funcionários e Descoberta de senhas. 
 
Scaming de protocolos, Pedido de informações e Invasão do sistema. 
 
Estudo do atacante, Descoberta de informações e Formalização da invasão. 
 
Levantamento das informações, Exploração das informações e Obtenção do acesso. 
Gabarito Comentado. 
 
 
 
 10a Questão (Ref.: 201602843538) Acerto: 1,0 / 1,0 
Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões entre a 
presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de 
saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria compartilhe as 
informações confidenciais que possui. Neste caso podemos afirmar que João está realizando um ataque do 
tipo: 
 
 
Engenharia social 
 
escaneamento