Baixe o app para aproveitar ainda mais
Prévia do material em texto
1a Questão (Ref.: 201708845007) Fórum de Dúvidas (0) Saiba (0) A pessoa responsável pela classificação da informação em uma organização é : O custodiante O proprietário da informação Analista de Segurança A equipe de TI O diretor da organização 2a Questão (Ref.: 201708845009) Fórum de Dúvidas (0) Saiba (0) A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para: A gestão de orçamento. A gestão dos negócios da organização. A gestão da área comercial. A gestão do ciclo da informação interna. A gestão dos usuários. 3a Questão (Ref.: 201708845008) Fórum de Dúvidas (0) Saiba (0) A informação terá valor econômico para uma organização se ela gerar lucro ou se for alavancadora de vantagem competitiva. Neste sentido devemos proteger os diferentes momentos vividos por esta informação que chamamos de ciclo de vida. Analise as opções abaixo e assinale a alternativa que não pertence a este ciclo de vida: Descarte Transporte Armazenamento Manuseio Auditoria 4a Questão (Ref.: 201708845010) Fórum de Dúvidas (0) Saiba (0) O advento da internet e a globalização transformaram completamente o mundo que vivemos e consequentemente estão revolucionando o modo de operação das empresas. A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Por que as organizações devem proteger as suas informações? Pelos seus valores internos e qualitativos. Pelos seus valores estratégicos e qualitativos. Pelos seus valores estratégicos e financeiros. Somente pelo seu valor financeiro. Somente pelos seus valores qualitativos e financeiros. 1a Questão (Ref.: 201708845014) Fórum de Dúvidas (0) Saiba (0) Na empresa onde Pedro trabalha ocorreu um incidente de segurança. Neste incidente ocorreu um ataque onde foram expostas informações sigilosas da organização. Ao analisar o ataque, Pedro percebeu que o ataque ocorreu através de um acesso privilegiado em um programa que acessava a Base de dados. Neste caso podemos afirmar que ocorreu um ataque do tipo: SYN Flooding IP Spoofing SQLinjection Buffer Overflow Força bruta 2a Questão (Ref.: 201708845012) Fórum de Dúvidas (0) Saiba (0) Você precisou realizar uma varredura à procura de software malicioso nas máquinas de seu setor e detectou um software especificamente projetado para apresentar propagandas através do software de navegação da Internet. Neste caso você encontrou um : Worm Spyware Adware Java Script Active-x 3a Questão (Ref.: 201708845013) Fórum de Dúvidas (0) Saiba (0) Você precisou realizar uma varredura à procura de software malicioso nas máquinas de seu setor e detectou além de vírus, uma variação de adware que foi especificamente projetado para observa as atividades do usuário de computador sem o seu consentimento e enviar as informações por relatórios ao autor do software. Neste caso você encontrou um : Adware Spyware Worm Active-x Java Script 4a Questão (Ref.: 201708845011) Fórum de Dúvidas (0) Saiba (0) Carlos detectou em uma máquina da empresa que trabalha um software malicioso capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Neste caso podemos afirmar que Carlos encontrou um: Worm Screenlogger Backdoor Keylogger Trojan 1a Questão (Ref.: 201708848005) Fórum de Dúvidas (0) Saiba (0) Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos. 2a Questão (Ref.: 201708845017) Fórum de Dúvidas (0) Saiba (0) Alfredo trabalha na empresa XPTO como analista de teste e tem como principal responsabilidade a realização de teste de segurança. Com crise econômica a empresa resolveu suspender todos os treinamentos das equipes. Desta forma Alfredo não conseguiu fazer os cursos previstos para sua atualização, tendo em vista a empresa estar migrando todos os seus sistemas para JAVA. Um dos sistemas testados por Alfredo foi utilizado por Hacker para invadir a organização. Neste caso podemos afirmar que ocorreu uma vulnerabilidade: Hardware Voluntária Involuntária Natural Comunicação 3a Questão (Ref.: 201709041706) Fórum de Dúvidas (0) Saiba (0) Sobre o gerenciamento de riscos é correto afirmar: A seleção de controles de segurança da informação depende exclusivamente das decisões da organização, baseadas nos critérios para aceitação de risco. Nesse contexto, as legislações e regulamentações nacionais são irrelevantes. Os resultados da análise/avaliação de riscos ajudarão a direcionar e a determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação, e para a implementação dos controles selecionados para a proteção contra estes riscos. A análise/avaliação de riscos deve contemplar todos os riscos internos e externos que podem afetar a continuidade do negócio, porém, não deve ser repetida periodicamente. Convém que a análise/avaliação de riscos considere apenas os recursos de processamento das informações, e inclua os resultados específicos da segurança da informação. Os processos de negócio não são relevantes nesse contexto. Uma vez que os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, é necessário que controles sejam implementados para assegurar que todos os riscos sejam eliminados, ou seja, reduzidos zero. 4a Questão (Ref.: 201708845015) Fórum de Dúvidas (0) Saiba (0) As ________________________ por si só não provocam acidentes, pois são elementos __________, para que ocorra um incidente de segurança é necessário um agente causador ou uma condição favorável que são as ___________________. Vulnerabilidades, passivos, ameaças Ameaças, essenciais, vulnerabilidades Vulnerabilidades, ativos, ameaças Ameaças, passivos, vulnerabilidades Ameaças, ativos, vulnerabilidades 5a Questão (Ref.: 201708845016) Fórum de Dúvidas (0) Saiba (0) Em 2015, as companhias A, B e C reportaram diversas tentativas de invasão aos banco de dados do Grupo ABC. A única empresa afetada pela onda de ataques foi a empresa C, que teve seus dados expostos por hackers não identificados. O ataque utilizados foi o SQLinjection. Neste caso podemos afirmar que foi explorada a : Vulnerabilidade de Comunicação Vulnerabilidade de Mídias Vulnerabilidade de Software Vulnerabilidade Física Vulnerabilidade Natural 6a Questão (Ref.: 201709041709) Fórum de Dúvidas (0) Saiba (0) A ocorrência de um roubo de computadores na organização, caso aconteça, provocará a perda de ativos materiais e informações. Este contexto representa o conceito de: Probabilidade Vulnerabilidade Risco Impacto Ameaça 7a Questão (Ref.: 201708845018) Fórum de Dúvidas (0) Saiba (0) Por uma desorganização interna, a empresa Y não renovou o contrato de manutenção dos seus equipamentos de armazenamento. Nestes equipamentos estão armazenados os arquivos de trabalho de todos da organização. Neste ano quatro discos já estão inutilizados, pois apresentaram erros. Esteincidente ocasionou problemas de indisponibilidade nos dados e várias áreas tiveram que solicitar o backup de seus arquivos. Neste caso estamos falando de qual tipo de vulnerabilidade? Voluntária Involuntária Comunicação Hardware Natural 1a Questão (Ref.: 201708845022) Fórum de Dúvidas (0) Saiba (0) Você é consultor de segurança de sua empresa e precisa verificar se as aplicações construídas estão vulneráveis a ataques do tipo SQLinjection. Neste caso qual seria a ferramenta mais indicada para utilização? PING SQLFORMS SQLMAP Aircrack Wireshark 2a Questão (Ref.: 201708845020) Fórum de Dúvidas (0) Saiba (0) Para realizar a análise de vulnerabilidade de uma rede, o primeiro passo é conhecer o tráfego e o comportamento desta rede. Neste caso precisaremos utilizar qual das ferramentas abaixo? Acunetix Wireshark Aircrack Metasploit PING 3a Questão (Ref.: 201708845019) Fórum de Dúvidas (0) Saiba (0) João foi contratado para realizar a análise de vulnerabilidade da empresa XPTO e precisa utilizar uma ferramenta que realize a coleta de informações sobre as portas do protocolo TCP/IP e ajude a descobrir serviços ou servidores nesta rede. Neste caso ele poderá utilizar qual ferramenta? PING NMAP SQLMAP Acunetix Aircrack 1a Questão (Ref.: 201708845025) Fórum de Dúvidas (0) Saiba (0) Maria utiliza um fórum na web e seu usuário tem permissão para incluir mensagens de sua própria autoria para que outros participantes possam ler. Este aplicativo possui um erro e um usuário mal intencionado conseguiu injetar instruções para enviar mensagens para todos os usuários do fórum. Neste caso este fórum sofreu um ataque de: Força-Bruta Cross-site Scripting Sequestro de sessão Phising Negação de serviço 2a Questão (Ref.: 201708845023) Fórum de Dúvidas (0) Saiba (0) O número de conexões que um servidor Web pode manter com seus clientes é limitado. Neste caso se um usuário malicioso utilizar um programa para realizar requisições de conexão a este servidor de forma a leva-lo a indisponibilidade , este usuário está praticando um ataque do tipo: Sequestro de sessão Negação de serviço Phising Força-Bruta SQLInjection 3a Questão (Ref.: 201708845024) Fórum de Dúvidas (0) Saiba (0) Maria recebeu um email com solicitação de seu banco para que atualizasse seu cadastro. Junto com este email foi enviado um link do site para atualização. Somente após passar as suas informações confidenciais é que Maria percebeu que o site era falso. Neste caso Maria sofreu um ataque do tipo: Phising Negação de serviço Sequestro de sessão Cross-site Scripting Força-Bruta 4a Questão (Ref.: 201708848003) Fórum de Dúvidas (0) Saiba (0) Dentre os diversos tipos conhecidos de ataque, assinale a opção que melhor define o que vem a ser um Backdoor? Backdoor é um pequeno programa criado para causar algum tipo de dano a um computador. Este dano pode ser lentidão, exclusão de arquivos e até a inutilização do Sistema Operacional. Backdoor consiste no software que recolhe a informação sobre um usuário do computador e transmite então esta informação a uma entidade externa sem o conhecimento ou o consentimento informado do usuário. Backdoor é um pequeno programas escrito geralmente em linguagem C que explora vulnerabilidades conhecidas. Geralmente é escrito pelos ¿verdadeiros hackers¿ e é utilizado por pessoas sem conhecimento da vulnerabilidade. Este tipo de programa atrai o público por que geralmente é muito pequeno, fácil de usar e o ¿benefício¿ que ele proporciona é imediato e satisfatório Backdoor é um programa auto-replicante completo que não precisa de outro programa para se propagar. Backdoor é uma técnica que o invasor usa para deixar uma porta aberta depois de uma invasão para que ele possa voltar facilmente ao sistema invadido para novas realizações. 5a Questão (Ref.: 201708845026) Fórum de Dúvidas (0) Saiba (0) Quando um usuário mal intencionado utiliza um endereço de origem IP ou HTTP representando o cliente para se fazer passar por ele, estamos nos referindo a um ataque do tipo: Força-Bruta Cross-site Scripting Sequestro de sessão Phising Negação de serviço 1a Questão (Ref.: 201708845032) Fórum de Dúvidas (0) Saiba (0) Fase que apresenta um alto risco para os negócios de uma empresa, pois além de ser considerado uma fase de pré- ataque envolve a utilização de diferentes técnicas e softwares, além de prejudicar o desempenho do ambiente: Mapeamento das informações Visualização das informações Exploração das informações Manutenção das informações Levantamento das informações 2a Questão (Ref.: 201708845029) Fórum de Dúvidas (0) Saiba (0) Qual das opções abaixo é utilizada pelo atacante para manutenção de acesso ao sistema após a realização de um ataque: Ataque DDoS Buffer Overflow Engenharia Social Scan de Rede Backdoors 3a Questão (Ref.: 201708845031) Fórum de Dúvidas (0) Saiba (0) Ferramenta que pode ser utilizada por um atacante para a camuflagem das evidências de ataque: Buffer Overflow Scan de Host Traceroute Cavalo de Tróia Rootkit 4a Questão (Ref.: 201708845027) Fórum de Dúvidas (0) Saiba (0) Na fase de levantamento de informações o atacante pode utilizar para este levantamento dois tipos de levantamento: Interno e externo Formal e informal Passivo e Ativo Manual e automatizado Direto e indireto 5a Questão (Ref.: 201708848006) Fórum de Dúvidas (0) Saiba (0) Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de comércio eletrônico. Hijackers. Wabbit. Exploits. Phishing. Trojans. 1a Questão (Ref.: 201708845036) Fórum de Dúvidas (0) Saiba (0) Você trabalha na equipe de segurança de sua empresa e recebeu um estagiário para trabalhar na equipe. Ao chegar ele perguntou o conceito de risco. Você prontamente respondeu que Risco é....: Probabilidade de uma ameaça explorar um incidente. Probabilidade de um ativo explorar uma vulnerabilidade Probabilidade de um incidente ocorrer mais vezes. Probabilidade de um ativo explorar uma ameaça. Probabilidade de uma ameaça explorar uma vulnerabilidade 2a Questão (Ref.: 201709041713) Fórum de Dúvidas (0) Saiba (0) Qual dos testes abaixo não é um que é comumente utilizado para verificação de vulnerabilidades? Mapeamento de Rede Scan de Portas Scan de Vulnerabilidades Quebra de Conta Monitoramento de Rede 3a Questão (Ref.: 201708845034) Fórum de Dúvidas (0) Saiba (0) Existe uma série de benefícios na implementação da Gestão de Risco em uma organização. Analise as questões abaixo e identifique a opção que NÂO representa um benefício: Manter a reputação e imagem da organização Melhorar a eficácia no controle de riscos Entender os riscos associados ao negócio e a gestão da informação Eliminar os riscos completamente e não precisar mais tratá-los Melhorar a efetividade das decisões para controlar os riscos 4a Questão (Ref.: 201709041716) Fórum de Dúvidas (0) Saiba (0) Um dos aspectos mais importantes da política de segurança é o processo de análise de riscos. Suas partes, quando isoladas, quase nada representam, mas, alinhadas e geridas adequadamente, apontam caminhos na busca de segurança de uma organização. Integram as partes do processo de análise de riscos: I. Identificação e Classificação dos Processos de Negócio; II. Identificaçãoe Classificação dos Ativos; III. Análise de Ameaças e Danos; IV. Análise de Vulnerabilidades; V. Análise de Risco. É correto o que consta em: II, III, IV e V, apenas. I, III e IV, apenas. I, III, IV e V, apenas. I, II, III, IV e V. II, III e IV, apenas. 5a Questão (Ref.: 201708845033) Fórum de Dúvidas (0) Saiba (0) João trabalha na equipe de gestão de risco da empresa XPTO e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso como denominamos este tipo de risco? Risco real Risco tratado Risco residual Risco percebido Risco verdadeiro 6a Questão (Ref.: 201708845037) Fórum de Dúvidas (0) Saiba (0) João trabalha na área de gestão de risco da empresa Zanfas e verificou que o custo de proteção contra um determinado risco está muito além das possibilidades da organização e, portanto não vale a pena tratá-lo. Neste caso João: Rejeita o risco. Comunica o risco. Ignora o risco. Aceita o risco. Trata o risco a qualquer custo. 1a Questão (Ref.: 201708845045) Fórum de Dúvidas (0) Saiba (0) Fase da gestão de riscos onde serão realizados todos os levantamentos em relação às ameaças, vulnerabilidades, probabilidades e impacto aos quais os ativos estão sujeitos: Tratamento dos riscos Análise e avaliação dos riscos Aceitação dos riscos Levantamento dos riscos Comunicação dos riscos 2a Questão (Ref.: 201708845043) Fórum de Dúvidas (0) Saiba (0) No processo de avaliação de risco o nível de aceitação de um risco pode ser: Risco financeiro, risco físico, risco de software Risco tecnológico, risco financeiro, risco administrativo Risco financeiro, risco de pessoal, riscos tecnológico Risco intolerável, risco aceitável, riscos tolerável Risco bom, risco médio e risco alto 3a Questão (Ref.: 201708845042) Fórum de Dúvidas (0) Saiba (0) No processo de análise e avaliação serão realizados todos os levantamentos em relação às ameaças, vulnerabilidades, probabilidades e impacto aos quais os ativos estão sujeitos. Existem duas metodologias que podemos aplicar: análise quantitativa e análise qualitativa análise financeira e qualitativa análise de processo e análise tecnológica análise processo e análise financeira análise quantitativa e análise financeira 4a Questão (Ref.: 201708845039) Fórum de Dúvidas (0) Saiba (0) Forma como um risco é visto por uma parte envolvida. Pode variar em virtude de critérios, valores, interesses e prioridades. Risco verdadeiro Risco tratado Risco percebido Risco residual Risco real
Compartilhar