gestão segurança informação varias questões

Prévia do material em texto

1- A ausência de mecanismo de proteção ou a falha em um mecanismo de proteção existente chamamos de: 
 1) Ameaça 
 2) Vulnerabilidade 
 3) Impacto 
 4) Risco 
 
2- O conceito de segurança é estar livre de perigos e incertezas. É correto afirmar que segurança da informação visa 
a .. 
 1) Criação de política, normas e procedimentos. 
 2) Criação de mecanismos para não ser invadido. 
 3) Proteção de ativos que contêm informações. 
 4) Nenhuma das respostas acima. 
 
3- Quais são as três características consideradas os pilares da segurança da informação? 
 1) Não-repúdio, criptografia e autenticação. 
 2) confidencialidade, criptografia e integridade. 
 3) Confidencialidade, integridade e disponibilidade. 
 4) Criptografia, disponibilidade e não-repúdio. 
 
4- Qual é o conceito de "ativo de informação”? 
 1) São aqueles que produzem, processam, transmitem ou armazenam informações. 
 2) São os equipamentos de redes. 
 3) São normas, procedimentos e a política de segurança. 
 4) Nenhuma das respostas acima. 
 
5- Quais as etapas do ciclo de vida da informação? 
 1) Manuseio, Armazenamento, Transporte e descarte; 
 2) Criação, armazenamento, manuseio e descarte; 
 3) Criação, armazenamento, transporte e remoção; 
 4) Criação, manuseio, transporte e descarte; 
 
6- O processo que consiste em identificar quais são os níveis de proteção que as informações demandam e 
estabelecer classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas. 
Estamos nos referindo ao conceito de: 
 1) organização da informação; 
 2) Classificação da informação; 
 3) otimização da informação; 
 4) randomização da informação; 
 
7- Quais são os quatro aspectos importantes que norteiam as ações de segurança em uma informação? 
 1) Criptografia, autenticação, valor e disponibilidade; 
 2) Confidencialidade, valor, integridade e criptografia; 
 3) Confidencialidade, valor, integridade e disponibilidade; 
 4) Confidencialidade, integridade, disponibilidade e criptografia; 
 
8- O que a análise de vulnerabilidade envolve? 
 1) Pessoas, processos, tecnologia e ambiente; 
 2) Tecnologia, programas, aplicativos e testes; 
 3) Pessoas, vulnerabilidades, ameaças e tecnologia; 
 4) dado, informação, conhecimento, processo; 
 
9- São tipos de vulnerabilidades: 
 1) humana, hardware, software, natural; 
 2) pessoal, tecnológica, natural, social; 
 3) técnica, estratégica, operacional e administrativa; 
 4) baixa, média, alta e complexa; 
 
10- As vulnerabilidades por si só não provocam incidentes, pois são elementos passivos, necessitando para tanto de 
_________________ou uma condição favorável que são __________________. 
 1) um agente causador, as ameaças; 
 2) um software, falhas de segurança; 
 3) um elemento ativo, os exploits; 
 4) ameaças, falhas de segurança 
 
11- Programa ou parte de um programa de computador que se propaga infectando, isto é, inserindo cópias de si 
mesmo e se tornando parte de outros programas e arquivos de um computador. 
 1) Vírus 
 2) Worm; 
 3) Rootkit; 
 4) Spyware; 
 
12- Quais os princípios básicos de segurança que as ameaças normalmente afetam? 
 1) disponibilidade, integridade, confidencialidade; 
 2) disponibilidade, criptografia, autenticidade; 
 3) integridade, autenticidade, confidencialidade; 
 4) integridade, autenticidade,criptografia; 
 
13- Como podemos conceituar um cavalo-de-tróia? 
 1) Programa que parece útil mas tem código destrutivo embutido; 
 2) Programa que fornece mecanismo para esconder e assegurar a presença de um invasor; 
 3) Software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de 
algum outro programa instalado em um computador. 
 4) Software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para 
terceiros. 
 
14- Quais as etapas, em ordem cronológica, de um planejamento de ataque? 
 1) Levantamento das informações, Exploração das informações (scanning), Obtenção do acesso, Manutenção do 
acesso, Camuflagem das evidências; 
 2) Exploração das informações (scanning), Levantamento das informações, Obtenção do acesso, Manutenção do 
acesso, Camuflagem das evidências; 
 3) Obtenção do acesso, Levantamento das informações, Exploração das informações (scanning), Manutenção do 
acesso, Camuflagem das evidências; 
 4) Obtenção do acesso, Levantamento das informações, Manutenção do acesso, Exploração das informações 
(scanning), Camuflagem das evidências; 
 
15- O que é o ataque denominado DdoS? 
 1) tenta tornar os recursos de um sistema indisponíveis para seus utilizadores, porém de forma distribuída. 
 2) Explora a metodologia de estabelecimento de conexões do protocoloTCP, baseado no three-way-handshake. 
 3) Tenta tornar os recursos de um sistema indisponíveis para seus utilizadores. 
 4) Mapeia as portas do protocolos TCP e UDP abertas em um determinado host. 
 
16- O que é o ataque denominado engenharia social? 
 1) Consistem em utilizar a persuasão, para obter informações que podem ser utilizadas para ter acesso não 
autorizado a computadores ou informações. 
 2) Consiste em tornar os recursos de um sistema indisponíveis para seus utilizadores. 
 3) Consiste na verificação do lixo em busca de informações que possam facilitar o ataque; 
 4) Consiste na captura de informações valiosas diretamente pelo fluxo de pacotes transmitido na rede. 
 
17- A empresa ABC está desenvolvendo um política de segurança da Informação e uma de suas maiores 
preocupações é com as informações críticas e sigilosas da empresa. Como estas informações impressas em papel 
serão descartadas. Qual o tipo de ataque está preocupando a empresa ABC? 
1. Fraggle 
2. Smurf 
3. Dumpster diving ou trashing 
4. Phishing Scan 
5. SYN Flooding 
 
18- Baseado no conceito de que as proteções são medidas que visam livrar os ativos de situações que possam trazer 
prejuízo e que podemos classificá-las de acordo com a sua ação e o momento em que ocorre, qual das opções abaixo 
não corresponde à classificação das proteções de acordo com a sua ação e o momento na qual ela ocorre? 
1. Preventivas. 
2. Correção. 
3. Destrutivas. 
4. Detecção . 
5. Desencorajamento. 
 
19- Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta? 
1. Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. 
2. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Disponibilidade das Informações. 
3. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Probabilidade 
das Informações. 
4. Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. 
5. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a Disponibilidade 
das Informações. 
 
20- O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma 
determinada ameaça causará está relacionado com qual conceito de? 
1. Ameaça. 
2. Risco. 
3. Valor. 
4. Impacto. 
5. Vulnerabilidade. 
 
21- Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como 
a tecnologia da informação tem apóiado as operações das empresas, qual das opções abaixo não é verdadeira 
quando tratamos do conceito de ¿Informação¿ ? 
1. É fundamental proteger o conhecimento gerado. 
2. Pode conter aspectos estratégicos para a Organização que o gerou. 
3. É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. 
4. A informação é vital para o processo de tomada de decisão de qualquer corporação. 
5. Deve ser disponibilizada sempre que solicitada. 
 
22- Um fator importante em um processo de classificação da informaçãoé o nível de ameaça conhecido que cada 
informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos sem causar 
danos à organização, podemos afirmar que ela possui qual nível de segurança? 
1. Confidencial. 
2. Interna. 
3. Irrestrito. 
4. As opções (a) e (c) estão corretas. 
5. Secreta. 
 
23- Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de 
diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da Informação: 
1. Tudo aquilo que não manipula dados. 
2. Tudo aquilo que tem valor para a organização. 
3. Tudo aquilo que não possui valor específico. 
4. Tudo aquilo que é utilizado no Balanço Patrimonial. 
5. Tudo aquilo que a empresa usa como inventario contábil. 
 
24- Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque 
externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de 
cadastro do cliente. Neste caso, foi utilizado um ataque de 
1. Fragmentação de Pacotes IP 
2. Smurf 
3. SQL Injection 
4. Buffer Overflow 
5. Fraggle 
 
25- Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade 
quanto pela de disponibilidade¿. Esta afirmação é: 
1. verdadeira desde que seja considerada que todas as informações são publicas. 
2. verdadeira se considerarmos que o nível não deve ser mudado. 
3. verdadeira, pois a classificação da informação pode ser sempre reavaliada. 
4. falsa, pois a informação não deve ser avaliada pela sua disponibilidade. 
5. falsa, pois não existe alteração de nível de segurança de informação. 
 
26- O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de 
operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia as 
operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser 
considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas? 
1. Apoio às Operações 
2. Apoio aos Processos 
3. Apoio às Estratégias para vantagem competitiva 
4. Apoio ao uso da Internet e do ambiente wireless 
5. Apoio à tomada de decisão empresarial 
 
27- Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço 
específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada 
computador ? 
1. Ataques de códigos pré-fabricados 
2. Ataque para Obtenção de Informações 
3. Ataque de Configuração mal feita 
4. Ataque á Aplicação 
5. Ataque aos Sistemas Operacionais 
 
28- Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no 
estudo e implementação de um processo de gestão de segurança em uma organização? 
1. Vulnerabilidade. 
2. Impacto . 
3. insegurança /intensidade 
4. Risco. 
5. Ameaça. 
 
29- O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos 
diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual conceito? 
1. Valor. 
2. Risco. 
3. Ameaça. 
4. Impacto. 
5. Vulnerabilidade. 
 
30- Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será necessário 
levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu objetivo o invasor 
tentará levantar estas informações através da escuta das portas do protocolo TCP e UDP. Neste caso estamos nos 
referindo a um ataque do tipo: 
1. SYN Flooding 
2. Fraggle 
3. Fragmentação de Pacotes IP 
4. Port Scanning 
5. Three-way-handshake 
 
31- Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das 
opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para as 
organizações quando tratamos de Segurança da Informação? 
1. Valor de restrição. 
2. Valor de troca. 
3. Valor de propriedade. 
4. Valor de orçamento. 
5. Valor de uso. 
 
32- O que é analise de risco? 
 1) Pessoas, processos, tecnologia e ambiente; 
 2) Tecnologia, programas, aplicativos e testes; 
 3) Pessoas, vulnerabilidades, ameaças e tecnologia; 
 4) dado, informação, conhecimento, processo; 
 
33- Os riscos não podem ser completamente eliminados e a porção do risco existente após todas as medidas de 
tratamento terem sido tomadas, chama-se? 
 1) Risco de transação; 
 2) Risco residual 
 3) Risco analítico 
 4) Risco estrutural 
 
34- A gestão de riscos contempla uma série de atividades relacionadas à forma como uma organização lida com o 
risco. Baseado no ciclo de vida da gestão de risco, quais são as quatros atividades principais: 
 1) Avaliação do Risco, Tratamento do Risco, Aceitação do Risco, Comunicação do Risco; 
 2) Avaliação do Risco, Aceitação do Risco, Tratamento do Risco, Comunicação do Risco; 
 3) Comunicação do Risco, Aceitação do Risco, Tratamento do Risco, Avaliação do Risco; 
 4) 
 
35- Sobre a Norma ISO/IEC 27001 podemos afirma que: 
 1) Apresenta os requisitos para a implementação de um Sistema de Gestão de Segurança da Informação; 
 2) Tem como objetivo tratar a gestão de risco da informação; 
 3) Tem como objetivo tratar a recuperação e continuidade de negócios; 
 4) É um código de melhores práticas de segurança da informação; 
 
36- Sobre a Norma ISO/IEC 27005 podemos afirma que: 
 1) Tem como objetivo a certificação do sistema de gestão de segurança da informação; 
 2) Tem como objetivo tratar a gestão de risco da informação; 
 3) Tem como objetivo tratar a recuperação e continuidade de negócios; 
 4) É um código de melhores práticas de segurança da informação; 
 
37- Sobre a Norma ISO/IEC 27002 podemos afirma que: 
 1) Tem como objetivo a certificação do sistema de gestão de segurança da informação; 
 2) Tem como objetivo tratar a gestão de risco da informação; 
 3) Tem como objetivo tratar a recuperação e continuidade de negócios; 
 4) É um código de melhores práticas de segurança da informação 
 
38- Sobre a Norma ISO/IEC 27001 podemos afirma que: 
 1) Apresenta os requisitos para a implementação de um Sistema de Gestão de Segurança da Informação; 
 2) Tem como objetivo tratar a gestão de risco da informação; 
 3) Tem como objetivo tratar a recuperação e continuidade de negócios; 
 4) É um código de melhores práticas de segurança da informação; 
 
39- O que é a declaração de aplicabilidade? 
 1) A relação de quais controles são aplicáveis e as justificativas dos que não são aplicáveis ao seu SGSI; 
 2) Os pontos específicos que definem o que deve ser feito para assegurar aquele item; 
 3) A política do Sistema de Gestão de Segurança da Informação (SGSI); 
 4) O resultado da avaliação de risco; 
 
40- Para estabelecer um Sistema de Gestão de Segurança da Informação (SGSI) documentado e dentro do contexto 
das atividades de negócio da organização e dos riscos que ela enfrenta, a norma ISO/IEC 27001 utiliza uma 
abordagem: 
 1) de processo; 
 2) de risco; 
 3) de controle; 
 4) de negócio; 
 
41- Quais os processos que compões o ciclo de vida da continuidade de negócio? 
 1) Gestão do programa de GCN, Determinando a estratégia de continuidade de negócios, Desenvolvendo e 
implementando uma resposta de GCN, Testando, mantendo e analisando criticamente os preparativos de GCN, 
Incluindo a GCN na cultura da organização; 
 2) Gestão do programa de GCN, Análise do impacto do negócio (BIA), Análise de risco do negócio, mantendo e 
analisando criticamente os preparativos de GCN, Incluindo a GCN na cultura da organização; 
 3) Determinandoa estratégia de continuidade de negócios, Desenvolvendo e implementando uma resposta de GCN, 
Implementando a Política de continuidade de negócio, Testando, mantendo e analisando criticamente os 
preparativos de GCN; 
 4) Desenvolvendo e implementando uma resposta de GCN, Análise de impacto do negócio (BIA), Testando, 
mantendo e analisando criticamente os preparativos de GCN, Incluindo a GCN na cultura da organização; 
 
42- No contexto da continuidade de negócio qual o conceito de desastre: 
 1) Eventos de grande magnitude em termos de prejuízo, porém com probabilidade muito baixa de ocorrência; 
 2) Eventos de grande magnitude em termos de prejuízo, com probabilidade muito alta de ocorrência; 
 3) Evento imprevisto e indesejável que resulta em algumen tipo de dano financeiro à empresa; 
 4) Evento imprevisto e indesejável que poderia ter resultado em algum tipo de dano à pessoa, ao patrimônio ou 
ainda algum tipo de impacto ao meio ambiente mas não resultou; 
 
43- O que contem um Plano de resposta a incidentes? 
 1) As tarefas e ações para administrar as consequências imediatas de uma interrupção de negócios; 
 2) A lista de tarefas e ações em ordem de prioridade para a continuidade do negócio; 
 3) O grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais 
para a organização e dentro do escopo do programa de GCN; 
 4) As ações para avaliar a competência de GCN e sua capacidade de identificar falhas reais e potenciais; 
 
44- O que caracteriza o algoritmo de criptografia de chave assimétrica? 
 1) A utilização de duas chaves diferentes, uma em cada extremidade do processo de comunicação; 
 2) A utilização de uma mesma chave tanto para a codificar quanto para decodificar mensagens sendo conhecida por 
ambos os lados do processo de comunicação; 
 3) A utilização de um algoritmo de criptografia chamado de hash; 
 4) A utilização de assinatura digital; 
 
45- Qual o conceito de zona demilitarizada (DMZ)? 
 1) pequenas redes que geralmente contém serviços públicos que são conectados diretamente ao firewall ou a 
outro dispositivo de filtragem; 
 2) redes que estão localizadas dentro do perímetro de segurança e portanto necessitam de proteção; 
 3) redes que contém serviços que necessitam de criptografia; 
 4) redes que contém serviços que necessitam de assinatura digital; 
 
46- Qual a função de um firewall? 
 1) Isola a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e outros 
não; 
 2) reconhece um comportamento ou uma ação intrusiva, através da análise das informações disponíveis em um 
sistema de computação ou rede; 
 3) protege equipamentos e informações contra usuários não autorizados, prevenindo o acesso a esses recursos; 
 4) escreve mensagens em forma cifrada ou em código; 
 
47- Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes 
foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza 
virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias 
instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um 
Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos 
dados internos e criticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque? 
1. Vulnerabilidade Comunicação 
2. Vulnerabilidade Mídias 
3. Vulnerabilidade Física 
4. Vulnerabilidade Natural 
5. Vulnerabilidade Software 
 
48- Analise a frase abaixo: ¿Capacidade de uma organização de resistir aos efeitos de um incidente.¿ Assinale qual 
das opções representa o conceito correto da frase acima: 
1. Restauração 
2. Resiliência 
3. Resistência 
4. Recuperação 
5. Rescaldo 
 
49- Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos dizer 
que: 
1. A afirmativa é falsa. 
2. A afirmativa é verdadeira. 
3. A afirmativa é verdadeira somente para ameaças identificadas. 
4. A afirmativa é verdadeira somente para vulnerabilidades físicas. 
5. A afirmativa é verdadeira somente para vulnerabilidades lógicas. 
 
50- Maria trabalha como engenheira química de uma importante empresa do ramo farmaceútico em um projeto 
inédito e que irá permitir a sua empresa obter um diferencial competitivo em relação aos concorrentes. As 
informações com que Maria trabalha deve ser classificada como interna e restrita a um grupo seleto dentro da 
organização, devendo a sua integridade ser preservada a qualquer custo e o acesso bastante limitado e seguro, 
sendo vital para a companhia. Em qual nível de segurança a informação deve ser classificada? 
1. Interna 
2. Secreta 
3. Pública 
4. Confidencial 
5. Proibida 
 
51- Segundo a RFC 2828 os ataques podem ser definidos como ¿um ataque à segurança do sistema, derivado de uma 
ameaça inteligente, ou seja, um ato inteligente que é uma tentativa deliberada de burlar os serviços de segurança e 
violar a política de segurança de um sistema¿. Os ataques ser classificados como: 
1. Passivo e Ativo 
2. Secreto e Ativo 
3. Passivo e Vulnerável 
4. Secreto e Vulnerável 
5. Forte e Fraco 
 
52- Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da 
Informação: 
1. Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos 
2. Tudo aquilo que tem origem para causar algum tipo de erro nos ativos 
3. Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos 
4. Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. 
5. Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos 
 
53- A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de 
processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da 
informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a 
NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança? 
1. Gerenciamento das Operações e Comunicações 
2. Desenvolvimento e Manutenção de Sistemas 
3. Controle de Acesso 
4. Segurança em Recursos Humanos 
5. Segurança Física e do Ambiente 
 
54- Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você 
está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações que 
você deve realizar: 
1. Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e serviços 
desnecessários para a organização. 
2. Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de produtos 
e serviços fundamentais para a organização. 
3. Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e serviços 
desnecessários para a organização. 
4. Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços 
fundamentais para a organização. 
5. Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e serviços 
fundamentais para a organização. 
 
55- Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação 
de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno 
dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos: 
1. Flexibilidade, agilidade e conformidade 
2. Autenticidade, originalidade e abrangência 
3. Integridade, prevenção e proteção 
4. Prevenção, proteção e reação5. Integridade, confidencialidade e disponibilidade 
 
56- Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INC ORRETA : 
1. A Chave Privada deve ser mantida em segredo pelo seu Dono 
2. Cada pessoa ou entidade mantém duas chaves 
3. A Chave Publica não pode ser divulgada livremente, somente a Chave Privada 
4. Chave Publica e Privada são utilizadas por algoritmos assimétricos 
5. A Chave Publica pode ser divulgada livremente 
 
57- Maio/2011 - A Sony sofre invasão de hackers com o vazamento de informações de mais de 100 milhões de 
usuários da rede online de games PlayStation Network. O ataque à base de dados de clientes se realizou desde um 
servidor de aplicações conectado com ela, e que está depois de um servidor site e dois firewalls. Segundo a 
companhia, os hackers encobriram o ataque como uma compra na plataforma online de Sony e depois de passar do 
servidor site, O ataque, que foi considerado um dos maiores, no sentido do vazamento de dados confidenciais, da 
história obrigou a Sony a reconstruir grande parte da sua rede, causado um prejuízo de 171 milhões de Dólares. A 
rede também ficou fora do ar por 28 dias, sendo que alguns serviços menos essenciais foram reestabelecidos 
primeiro e regionalmente antes do reestabelecimento total de todos os serviços. . Qual você acha que foi a 
vulnerabilidade para este ataque? 
1. Vulnerabilidade de Comunicação 
2. Vulnerabilidade de Mídias 
3. Vulnerabilidade Natural 
4. Vulnerabilidade de Software 
5. Vulnerabilidade Física 
 
58- Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos 
diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma 
ameaça¿. Podemos dizer que é: 
1. verdadeira 
2. parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. 
3. falsa, pois não depende do ativo afetado. 
4. falsa, pois não devemos considerar que diferentes ameaças existem . 
5. falsa, pois os impactos são sempre iguais para ameaças diferentes. 
 
59- Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha 
na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho 
maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação 
relacionada à: 
1. Não-Repúdio; 
2. Integridade; 
3. Auditoria; 
4. Autenticidade; 
5. Confidencialidade; 
 
60- Qual das opções abaixo representa o tipo de ação quando observamos que o custo de proteção contra um 
determinado risco não vale a pena ser aplicado: 
1. Comunicação do Risco 
2. Aceitação do Risco 
3. Garantia do Risco 
4. Monitoramento do Risco 
5. Recusar o Risco 
 
61- Marcelo é analista de suporte da empresa X e está responsável pela instalação dos equipamentos de rede. 
Durante a instalação do novo roteador, Marcelo não percebeu que ocorreram vários erros na instalação do 
equipamento. Neste caso ocorreu um exemplo de vulnerabilidade : 
1. De Mídia; 
2. De comunicação; 
3. De Software; 
4. De hardware; 
5. Natural; 
 
62- Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? 
1. Passivo 
2. Forte 
3. Fraco 
4. Secreto 
5. Ativo 
 
63- Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de Banco de 
Dados, pretende implementar recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando 
permissões. Neste caso que tipo de barreira você está implementando? 
1. Deter 
2. Discriminar 
3. Desencorajar 
4. Dificultar 
5. Detectar 
 
64- A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses 
dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do tratamento dos 
Dados para a sua utilização eficaz nas organizações? 
1. Dado - Conhecimento - Informação 
2. Dado - Informação - Informação Bruta 
3. Dado - Informação - Conhecimento 
4. Dado - Informação - Dados Brutos 
5. Dado - Conhecimento Bruto - Informação Bruta 
 
65- Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de 
usuários denominados “auditores”. Um usuário de um outro grupo, o grupo “estudante”, tenta acessar o sistema em 
busca de uma informação que somente o grupo “auditores” tem acesso e consegue. Neste caso houve uma falha na 
segurança da informação para este sistema na propriedade relacionada à: 
1. Auditoria; 
2. Disponibilidade; 
3. Não-Repúdio; 
4. Integridade; 
5. Confidencialidade; 
 
66- Qual das opções abaixo descreve melhor conceito de “Risco” quando relacionado com a Segurança da 
Informação: 
1. Probabilidade de uma ameaça explorar um incidente. 
2. Probabilidade de uma ameaça explorar uma vulnerabilidade. 
3. Probabilidade de um ativo explorar uma ameaça. 
4. Probabilidade de um ativo explorar uma vulnerabilidade. 
5. Probabilidade de um incidente ocorrer mais vezes. 
 
67- Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas 
servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés 
da invasão? 
1. DDos 
2. SQL Injection 
3. Shrink wrap code 
4. Phishing Scan 
5. Source Routing 
 
68- A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de 
informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi 
utilizado um ataque de: 
1. Smurf 
2. Fragmentação de Pacotes IP 
3. Fraggle 
4. Buffer Overflow 
 
69- Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
1. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR 
ISO/IEC 27001. 
2. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
3. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR 
ISO/IEC 27001. 
4. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
5. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR 
ISO/IEC 27001. 
 
70- Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus 
componentes ? 
1. Redes Não Confiáveis - Não possuem políticas de segurança. 
2. Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de proteção 
3. Redes Não Confiáveis - Não é possível informar se necessitam de proteção. 
4. Redes Não Confiáveis - Não possuem controle da administração. 
5. Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou não confiável. 
 
71- A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do 
negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua 
retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de 
Segurança? 
1. Controle de Acesso 
2. Segurança Física e do Ambiente. 
3. Gestão de Incidentes de Segurança da Informação 
4. Gestão da Continuidade do Negócio 
5. Gerenciamento das Operações e Comunicações 
 
72- Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo 
financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua 
empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes.Neste caso você 
classificaria estas informações em qual nível de segurança? 
1. Confidencial. 
2. Irrestrito. 
3. Interna. 
4. Pública. 
5. Secreta 
 
73- Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são 
especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar 
a estratégia definida nas diretrizes? 
1. Relatório Estratégico. 
2. Procedimentos. 
3. Normas. 
4. Manuais. 
5. Diretrizes. 
 
74- Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? 
1. ISO/IEC 27004 
2. ISO/IEC 27005 
3. ISO/IEC 27003 
4. ISO/IEC 27002 
5. ISO/IEC 27001 
 
75- Nas estratégias contingência implementadas pelas empresas, qual das opções abaixo NÃO é considerada uma 
estratégias de contingência ? 
1. Warm Site 
2. Cold Site 
3. Realocação de Operação 
4. Hot Site 
5. Small Site 
 
76- As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos 
por meio da exploração de vulnerabilidades . As ameaças inconscientes, quase sempre causadas pelo 
desconhecimento poderão ser classificadas como: 
1. Voluntárias. 
2. Naturais. 
3. Ocasionais. 
4. Involuntárias. 
5. Inconseqüentes. 
 
77- Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o 
grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua 
capacidade de gerar efeitos adversos na organização são consideradas: 
1. Medidas Preventivas 
2. Medidas Corretivas e Reativas 
3. Métodos Quantitativos 
4. Métodos Detectivos 
5. Medidas Perceptivas 
 
78- Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções 
abaixo Não representa um destes tipos de ataques? 
1. Ataque á Aplicação 
2. Ataque para Obtenção de Informações 
3. Ataques Genéricos 
4. Ataque de Configuração mal feita 
5. Ataque aos Sistemas Operacionais 
 
79- Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? 
1. ISO/IEC 27003 
2. ISO/IEC 27002 
3. ISO/IEC 27004 
4. ISO/IEC 27001 
5. ISO/IEC 27005 
 
80-Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização 
certificada: 
1. implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança 
dos funcionários e padrões comerciais. 
2. implementou um sistema para gerência da segurança da informação de acordo com os padrões e 
melhores práticas de segurança reconhecidas no mercado 
3. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais 
das empresas de TI. 
4. implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
5. implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos 
de segurança dos Gerentes de TI. 
 
81-O Exploit é um termo muito utilizado em segurança da informação. Qual das opções abaixo descreve o que 
conceito de um Exploit ? 
1. Um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das 
ameaças de um sistema computacional. 
2. Um programa de computador, uma porção de dados ou uma sequência de comandos para reduzir as 
ameaças de um sistema computacional. 
3. Um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das 
vulnerabilidades de um sistema computacional. 
4. Um programa de computador, uma porção de dados ou uma sequência de comandos que implementa 
vulnerabilidades em um sistema computacional. 
5. Um programa de computador, uma porção de dados ou uma sequência de comandos que deve ser 
amplamente utilizado em um sistema computacional. 
 
82- Na vulnerabilidade dos sistemas, o cavalo de troia e os applets mal intencionados são exemplos de métodos de 
ataque do tipo: 
1. fraude de programação. 
2. falhas humanas. 
3. ameaças não intencionais. 
4. adulteração de dados. 
5. falhas do sistema computacional. 
 
83- Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, 
isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador pode 
ser descrito como sendo um: 
1. vírus 
2. backdoor 
3. spyware 
4. exploit 
5. keylogger 
 
84- Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente segue para 
realizar um Ataque de Segurança : 
1. Obtenção, Levantamento, Exploração, Manutenção e Camuflagem 
2. Obtenção, Exploração, Levantamento, Manutenção e Camuflagem 
3. Exploração, Levantamento, Obtenção, Manutenção e Camuflagem 
4. Levantamento, Exploração, Obtenção, Manutenção e Camuflagem 
5. Levantamento, Obtenção, Exploração, Manutenção e Camuflagem 
 
85- João e Pedro são administrador de sistemas de uma importante empresa e estão instalando uma nova versão do 
sistema operacional Windows para máquinas servidoras. Durante a instalação Pedro percebeu que existem uma 
série de exemplos de códigos já prontos para serem executados, facilitando assim o trabalho de administração do 
sistema. Qual o tipo de ataque que pode acontecer nesta situação? 
1. Shrink Wrap Code 
2. Dumpster Diving ou Trashing 
3. Phishing Scan 
4. Smurf 
5. Fraggle 
 
86- De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID difere 
de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de 
segurança¿, podemos dizer que: 
1. A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
2. A afirmação é somente falsa para as empresas privadas. 
3. A afirmação é falsa. 
4. A afirmação é somente verdadeira para as empresas privadas. 
5. A afirmação é verdadeira. 
 
87- O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não 
pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? 
1. Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; 
2. Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; 
3. Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; 
4. Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; 
5. Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; 
 
88- João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede 
através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. 
Qual o tipo de ataque que o invasor está tentando utilizar? 
1. Fragmentação de pacotes IP 
2. Port Scanning 
3. SYN Flooding 
4. Fraggle 
5. Ip Spoofing 
89- Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor está 
associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for 
alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Segundo os conceitos da 
Segurança da Informação, onde devemos proteger as informações? 
1. Nos Riscos. 
2. Nas Vulnerabilidades e Ameaças. 
3. Nas Ameaças. 
4. Nas Vulnerabilidades. 
5. Nos Ativos . 
 
90- Qual das opções abaixo completa a sentença: ¿Quanto maior a probabilidade de uma determinada ameaça 
ocorrer e o impacto que ela trará, maior será _________.¿ 
1. A Vulnerabilidade do Ativo. 
2. A Vulnerabilidade do Risco. 
3. O risco associado a este incidente. 
4. O valor do Impacto.5. O risco associado a ameaça. 
 
91- Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para isso 
implementou um programa que que irá coletar informações pessoais e financeiros da vítima. Para obter sucesso no 
ataque, Antônio irá induzir o acesso a página fraudulenta através do envio de uma mensagem não solicitada. Neste 
caso estavamos nos referindo ao ataque do tipo 
1. SQL Injection 
2. Phishing Scan 
3. Source Routing 
4. DDos 
5. Shrink wrap code 
 
92- João configurou nas máquinas servidoras da empresa que trabalha o serviço de Log de forma a registrar as 
operações realizadas pelos usuários e serviços do sistema. Neste caso, João está implementando uma propriedade 
de segurança relacionada à(o): 
1. Integridade; 
2. Confidencialidade; 
3. Disponibilidade; 
4. Auditoria; 
5. Não-Repúdio; 
 
93- assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade certificadora confiável. Uma 
mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 
1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 
3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores. 
A mensagem de Ana para Bernardo deve ser assinada 
1. com a chave privada de Bernardo e criptografada com a chave pública de Ana. 
2. e criptografada com a chave pública de Ana. 
3. com a chave pública de Ana e criptografada com a chave privada de Bernardo. 
4. e criptografada com a chave privada de Bernardo. 
5. com a chave privada de Ana e criptografada com a chave pública de Bernardo. 
 
94- Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de 
situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis 
de serem aplicadas às organizações? 
1. Lógica, Administrativa e Contábil. 
2. Administrativa, Contábil e Física. 
3. Lógica, Física e Programada. 
4. Administrativa, Física e Lógica. 
5. Administrativa, Física e Programada. 
95- A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento 
fundamental para: 
1. A gestão dos negócios da organização . 
2. A gestão da área comercial. 
3. A gestão de orçamento. 
4. A gestão do ciclo da informação interna. 
5. A gestão dos usuários. 
 
96- As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão 
ser classificadas como: 
1. Voluntárias 
2. Tecnológicas. 
3. Globalizadas 
4. Destrutivas 
5. Insconsequentes 
 
97- Quando um atacante deseja realizar uma invasão, a utilização de rootkits, backdoors ou trojans pode estar 
associada a qual dos passos realizados pelo Atacante? 
1. Manutenção do Acesso. 
2. Levantamento das Informações. 
3. Exploração das Informações. 
4. Obtenção de Acesso 
5. Camuflagem das Evidências 
 
98- Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a 
tecnologia da informação apóia as operações e processos das empresas, qual das opções abaixo poderá ser 
escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo? 
1. O uso da internet para sites de relacionamento; 
2. O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; 
3. O crescimento explosivo dos cursos relacionados com a tecnologia da informação; 
4. O Aumento no consumo de softwares licenciados; 
5. O crescimento explosivo da venda de computadores e sistemas livres; 
 
 99- Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua 
origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? 
1. Secreta e Oculta 
2. Conhecida e Externa 
3. Secreta e Externa 
4. Interna e Externa 
5. Interna e Oculta 
 
100- A análise de vulnerabilidade permite que os profissionais de segurança e TI da empresa possam ter maior 
conhecimento do ambiente de TI e seus problemas. Qual das opções abaixo não é um exemplo de teste de 
vulnerabilidade lógica em maquinas de uma rede alvo? 
1. Aplicativos instalados. 
2. Ruídos elétricos na placa wireless. 
3. Os Sistemas operacionais utilizados. 
4. Patches e service packs aplicados. 
5. Verificar as portas do protocolo TCP/IP que se encontram desprotegidas (abertas). 
 
101- Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são 
detalhadas no plano operacional, as configurações de um determinado produto ou funcionalidade que devem ser 
feitas para implementar os controles e tecnologias estabelecidas pela norma. 
1. Diretrizes. 
2. Normas. 
3. Manuais. 
4. Procedimentos. 
5. Relatório Estratégico. 
 
102- A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua 
pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo 
Não poderá ser considerada como um elemento para a realização desta análise: 
1. Os resultados das auditorias anteriores e análises críticas; 
2. A avaliação das ações preventivas e corretivas; 
3. A avaliação dos riscos e incidentes desejados; 
4. Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores; 
5. A realimentação por parte dos envolvidos no SGSI. 
 
103- A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado 
a que tipo de proteção ? 
1. Recuperação . 
2. Preventiva. 
3. Reação. 
4. Limitação. 
5. Correção. 
 
104- Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Neste 
contexto qual das opções abaixo indica o tipo de “valor da informação” que pode ser atribuído ao seguinte conceito: 
”É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda)”. 
1. Valor de restrição. 
2. Valor de troca . 
3. Valor de utilidade. 
4. Valor de propriedade. 
5. Valor de uso. 
 
105-O que ocorre quando uma ameaça explora uma ou mais vulnerabilidades de um ativo segundo os conceitos da 
Segurança da Informação? 
1. Uma falha na ameaça do ativo. 
2. Um acidente de Segurança da Informação. 
3. Uma tentativa de Segurança. 
4. Um Incidente de Segurança. 
5. Um tratamento de vulnerabilidades 
 
106- Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? 
1. Monitoramento de URLs acessadas enquanto o usuário navega na Internet 
2. Alteração da página inicial apresentada no browser do usuário; 
3. Captura de outras senhas usadas em sites de comércio eletrônico; 
4. Alteração ou destruição de arquivos; 
5. Captura de senhas bancárias e números de cartões de crédito 
 
107- Se um invasor mal intencionado desejasse utilizar de uma ferramenta para mapear potenciais vulnerabilidades 
em computadores, assegurar o acesso futuro a estes computadores e remover as evidências de suas ações, qual 
ferramenta (malware) ele utilizaria como sendo a mais eficaz dentre as apresentadas na opções abaixo ? 
1. Bot 
2. Rootkit 
3. Spyware 
4. Worm 
5. Adware 
 
108- O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos 
anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses 
dados de forma confiável. Neste contexto qual das opções abaixo poderá definir melhor o conceito de “Dado”? 
1. Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões de fatos ou 
situações. 
2. Elemento identificado em sua forma trabalhada e que por si só conduz a váriascompreensões de fatos e 
situações. 
3. Elemento não identificado e que por si só não conduz a uma compreensão de determinado fato ou situação. 
4. Elemento identificado em sua forma trabalhada que por si só não conduz a uma compreensão de 
determinado fato ou situação. 
5. Elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de 
determinado fato ou situação. 
 
109- O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador 
que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de 
cartões de crédito é conhecido como: 
1. backdoor 
2. Virus 
3. Spyware 
4. Keylogger 
5. Exploit 
 
110- João coordena a área de segurança na empresa XPTO e tem conhecimento de que a negligência por parte dos 
administradores de rede e a falta de conhecimento técnico de alguns usuários são exemplos típicos de 
vulnerabilidade. Por conta disso implementou medidas que impedem a configuração e a instalação indevidas de 
programas de computador/sistemas operacionais que poderiam levar ao uso abusivo dos recursos por parte de 
usuários mal-intencionados e que neste caso representam exemplos de vulnerabilidade : 
1. De hardware; 
2. Natural; 
3. Humana; 
4. De Software; 
5. De Mídia; 
 
111-Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes 
PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP da 
vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP , que 
foi mascarado pelo atacante. 
1. Phishing Scan 
2. Shrink Wrap Code 
3. Dumpster Diving ou Trashing 
4. Smurf 
5. Fraggle 
 
112- As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma 
organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de 
investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na 
ótica da Segurança da Informação? 
1. Fragilidade presente ou associada a ativos que exploram ou processam informações . 
2. Impacto presente ou associada a ativos que manipulam ou processam informações. 
3. Ameaça presente ou associada a ativos que manipulam ou processam informações. 
4. Fragilidade presente ou associada a ameaças que manipulam ou processam informações . 
5. Fragilidade presente ou associada a ativos que manipulam ou processam informações 
 
113- A utilização inadequadas dos dispositivos de armazenamento das informações, podem deixar seu conteúdo 
vulnerável a uma série de fatores que poderão afetar a integridade, a disponibilidade e a confidencialidade das 
informações. Este tipo de vulnerabilidade é classificada como: 
1. Hardware; 
2. Mídia; 
3. Humana; 
4. Software; 
5. Comunicação; 
 
114- Qual opção abaixo representa a descrição do Passo “Manutenção do Acesso” dentre aqueles que são realizados 
para um ataque de segurança ? 
1. O atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿. 
2. O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência. 
3. O atacante penetra do sistema para explorar vulnerabilidades encontradas. sistema. 
4. O atacante tenta manter seu próprio domínio sobre o sistema. 
5. O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento 
 
115- Quando devem ser executadas as ações corretivas? 
1. Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma a 
evitar a sua repetição 
2. Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar 
a sua repetição 
3. Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do SGSI 
de forma a evitar a sua repetição 
4. Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua 
repetição 
5. Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a 
evitar a sua repetição 
 
116- Além da análise de vulnerabilidade também é muito importante que o profissional de TI periodicamente realize 
uma pesquisa de vulnerabilidade . Qual das opções abaixo define o conceito de Pesquisa de Vulnerabilidades? 
1. Descobrir as vulnerabilidades essenciais para o funcionamento de um sistema. 
2. Descobrir quais usuários estão cadastrados na rede. 
3. Descobrir as ineficiências de um sistema de cadastro. 
4. Descobrir as falhas de ameaças que devem ser utilizadas num produto. 
5. Descobrir as falhas e deficiências em um produto ou aplicação que podem comprometer a segurança. 
 
117- Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são 
utilizados termos numéricos para os componentes associados ao risco. 
1. Método Numérico. 
2. Método Classificatório. 
3. Método Exploratório. 
4. Método Qualitativo. 
5. Método Quantitativo. 
 
118- A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos 
eventos monitorados e através de ações: 
1. Corretivas e Preventivas. 
2. Corretivas e Corrigidas. 
3. Prevenção e Preventivas. 
4. Corrigidas e Preventivas. 
5. Corretivas e Correção. 
 
119- Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque DDoS 
e foi descrito como o maior já sofrido pela empresa. C omo resultado desse ataque, quase 18 MILHÕES de blogs, 
incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre eles, estão 
inclusos o Financial Post, o Nacional Post e o TechC runch. O tamanho ataque alcançou vários Gigabits por segundo e 
alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do Wordpress, a 
investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. 
Qual você acha que foi a vulnerabilidade para este ataque? 
1. Vulnerabilidade Física 
2. Vulnerabilidade Mídias 
3. Vulnerabilidade C omunicação 
4. Vulnerabilidade Natural 
5. Vulnerabilidade Software 
120- instalações físicas a área de desenvolvimento de sistemas. O prazo de retorno para as atividades neste local 
físico será de pelo menos 15 dias, o que acarretará no estouro do prazo dos projetos já em andamento. A empresa Y 
foi contratada para realizar o serviço de desenvolvimento enquanto as instalações físicas da áre de desenvolvimento 
não fica operacional. Neste caso qual a estratégia de contingenciamento que está sendo aplicada? 
1. Hot-site 
2. Realocação de operação 
3. C old-site 
4. Bureau de service 
5. Acordo de reciprocidade 
 
121- Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. 
Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta 
um conjunto típico destes documentos? 
1. Diretrizes; Manuais e Procedimentos 
2. Diretrizes; Normas e Procedimentos 
3. Manuais; Normas e Procedimentos 
4. Manuais; Normas e Relatórios 
5. Diretrizes; Normas e Relatórios 
 
122- Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das 
opções abaixo indica o tipo de “valor da informação” que pode ser atribuído ao seguinte conceito: “Surge no caso 
de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas 
algumas pessoas”. 
1. Valor de uso. 
2. Valor de troca. 
3. Valor de negócio. 
4. Valor de restrição. 
5. Valor de propriedade.123- Você precisa elaborar um relatório com o resultado da análise de vulnerabilidades que foi realizada na sua 
empresa. Você percebeu que no levantamento das vulnerabilidades do ambiente de TI foram encontradas 
inconsistências. Qual das opções abaixo não pode ser considerada como um exemplo de um tipo de vulnerabilidade 
que pode ser encontrada num ambiente de TI? 
1. Fraqueza de segurança/falhas nos scripts que executam nos servidores web. 
2. Falhas nas implementações de segurança nos compartilhamentos de rede e arquivos. 
3. Falha na transmissão de um arquivo por uma eventual queda de energia. 
4. Falhas nos softwares dos equipamentos de comunicações. 
5. Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos. 
 
124- Você está trabalhando em um projeto de segurança e deseja implementar mecanismos de segurança contra as 
ameaças que são capazes de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que 
o mouse é clicado. Neste caso podemos classificar esta ameaça como sendo um: 
1. Screensavers 
2. Screenloggers 
3. Keyloggers 
4. Screenware 
5. Cavalo de tróia 
 
125- Como não existe uma única causa para o surgimento das vulnerabilidades, diferentes tipos de vulnerabilidade 
podem estar presente em diversos ambientes computacionais. Neste sentido qual das opções abaixo não representa 
um exemplo de tipo de vulnerabilidade? 
1. Hardware. 
2. Vírus. 
3. Humana. 
4. Mídia. 
5. Natural. 
 
126- Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja 
através de algum outro programa instalado em um computador pode ser descrito como sendo um: 
1. Worm 
2. Spyware 
3. Java Script 
4. Active-x 
5. Adware 
 
127- No contexto da Segurança da Informação, a medida que indica a probabilidade de uma determinada ameaça se 
concretizar, combinada com os impactos que ela trará está relacionada com qual conceito de? 
1. Impacto. 
2. Risco. 
3. Ameaça. 
4. Vulnerabilidade. 
5. Valor. 
 
128- Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são 
realizados para um ataque de segurança ? 
1. O atacante tenta manter seu próprio domínio sobre o sistema 
2. O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema. 
3. O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação". 
4. O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento 
5. O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência. 
 
129- Qual opção abaixo representa a descrição do Passo “Levantamento das Informações” dentre aqueles que são 
realizados para um ataque de segurança ? 
1. A atacante tenta manter seu próprio domínio sobre o sistema 
2. O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência. 
3. O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação". 
4. O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento 
5. O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema. 
 
130- Como não existe uma única causa para o surgimento das vulnerabilidades, diferentes tipos de vulnerabilidade 
podem estar presente em diversos ambientes computacionais. Qual das opções abaixo"NÃO" representa um 
exemplo de tipo de vulnerabilidade? 
1. Física 
2. Comunicação 
3. Humana 
4. Natural 
5. Administrativa 
 
131-Suponha que um invasor mal intencionado desejasse observar o padrão das mensagens enviadas, de forma a 
poder determinar o local e a identidade dos envolvidos na comunicação e ainda observar a frequência e o tamanho 
das mensagens trocadas. Qual o tipo de ataque ele utilizaria dentre as opções apresentadas abaixo ? 
1. Ativo - análise de tráfego 
2. Passivo - interceptação do conteúdo da mensagem (liberação) 
3. Ativo - interceptação do conteúdo da mensagem (liberação) 
4. Passivo - análise de tráfego 
5. Ativo - Repetição da mensagem 
 
132- Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem como uma das 
suas etapas a atividade de classificação dos ativos da organização. Qual das opções abaixo não representa um 
exemplo de Ativo Intangível: 
1. Confiabilidade de um Banco. 
2. Marca de um Produto. 
3. Sistema de Informação. 
4. Qualidade do Serviço. 
133- Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas 
de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso 
estamos nos referindo a que tipo de risco: 
1. Risco real; 
2. Risco verdadeiro; 
3. Risco residual; 
4. Risco percebido; 
5. Risco tratado; 
 
134- Qual das opções abaixo não representa uma das etapas da Gestão de Risco: 
1. Manter e melhorar os riscos identificados nos ativos 
2. Identificar e avaliar os riscos. 
3. Verificar e analisar criticamente os riscos. 
4. Selecionar, implementar e operar controles para tratar os riscos. 
5. Manter e melhorar os controles 
 
135- As Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc. 
poderão ser classificadas como: 
1. Globalizadas. 
2. Da natureza. 
3. Ocasionais. 
4. Naturais. 
5. Destrutivas. 
 
136- Os possíveis defeitos de fabricação ou configuração dos equipamentos das empresas que podem permitir o 
ataque ou a alteração dos mesmos são classificados como vulnerabilidades de: 
1. Hardware; 
2. Mídia; 
3. Software; 
4. Comunicação; 
5. Humana; 
 
137- Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de 
dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não autorizados 
com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste 
caso, Pedro está em que passo da metodologia de um ataque? 
1. Exploração das Informações 
2. Obtenção de Acesso 
3. Camuflagem das Evidências 
4. Divulgação do Ataque 
5. Levantamento das Informações 
 
138- Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código malicioso ou Malware? 
1. worm 
2. trojan horse 
3. active-x 
4. keyloggers 
5. rootkit 
 
139- Qual das opções abaixo refere-se ao conceito definido pela RFC 2828 do Internet Security Glossary : “Potencial 
para violação da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a segurança 
e causar danos” . 
1. Ameaça. 
2. Confidencialidade. 
3. Incidente. 
4. Vulnerabilidade. 
5. Impacto. 
140- A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e 
interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo 
referencia a que tipo de ação de Segurança: 
1. Controle de Acesso. 
2. Gerenciamento das Operações e Comunicações. 
3. Segurança dos Ativos. 
4. Segurança Física e do Ambiente. 
5. Segurança em Recursos Humanos. 
 
141- Qual das opções abaixo demonstra a seqüência correta de elementos e eventos que fazem parte de um 
processo de análise da Segurança da Informação? 
1. As Ameaças exploram as Vulnerabilidades ocorrendo em Incidentes de Segurança que afetam os 
processos de negócio resultando em Impactos para as organizações. 
2. As Ameaças exploram os Incidentes ocorrendo em Ativos de Segurança que afetam os processos de negócio 
resultando em Vulnerabilidades para as organizações. 
3. Os Ativos exploram as Vulnerabilidades ocorrendo em Incidentes de Segurança que afetam os processos de 
negócio resultando em Controles para as organizações. 
4. Os Ativos exploram as Vulnerabilidadesocorrendo em Controles de Segurança que afetam os processos de 
negócio resultando em Impactos para as organizações. 
5. As Ameaças exploram os Incidentes ocorrendo em Vulnerabilidades de Segurança que afetam os processos 
de negócio resultando em Impactos para as organizações. 
 
142- Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de Banco de 
Dados, pretende instalar dispositivos de autenticação de acesso físico, que será implementado através de dispositivo 
biométrico. Neste caso que tipo de barreira você está implementando? 
1. Desencorajar 
2. Discriminar 
3. Deter 
4. Dificultar 
 
143- O processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados 
que possam prever a efetividade desse conjunto de proteções pode ser descrito em qual das opções abaixo? 
1. Ativo 
2. Análise de Vulnerabilidade 
3. Analise de Escopo 
4. Ameaça 
5. Analise de Incidente 
 
144- Você está trabalhando em um projeto de segurança e necessita identificar os principais tipos de ameaças que 
podem comprometer a segurança da informação na sua empresa. Foram detectados em algumas máquinas 
programas que permitem o retorno de um invasor a um computador comprometido utilizando serviços criados ou 
modificados para este fim e sem precisar recorrer aos métodos utilizados na invasão. Neste caso podemos classificar 
esta ameaça como sendo um: 
1. Bots 
2. Backdoor 
3. Worm 
4. Virus 
5. Spyware 
 
145- Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um 
comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e 
precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. 
Neste caso você irá utilizar: 
1. Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede; 
2. Um detector de intrusão para realizar a análise do tráfego da rede; 
3. Um sniffer de rede, para analisar o tráfego da rede; 
4. Um analisador de protocolo para auxiliar na análise do tráfego da rede; 
5. Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall; 
 
146- Podemos afirmar que um Ataque pode ser derivado de uma ameaça inteligente, ou seja, a tentativa deliberada 
de burlar os serviços de segurança e violar a política de segurança de um sistema? 
1. Não, a afirmação é falsa, esta é a afirmação de uma vulnerabilidade. 
2. Não, a afirmação é falsa, pois um ataque não é derivado de uma ameaça 
3. A afirmação é verdadeira, pois um ataque é derivado de uma ameaça inteligente 
4. A afirmação é falsa pois este tipo de ataque não existe. 
5. A afirmação só seria verdadeira se a ameaça não fosse inteligente 
 
147- Paulo é consultor de uma empresa de segurança e foi contratado para desenvolver a política de segurança da 
empresa Blue. Nesta fase do projeto Paulo necessita elaborar documento, integrante da Política de Segurança da 
Informação, onde deverá detalhar as configurações operacionais da rotina de Backup da empresa. Neste caso Paulo 
estará elaborando: 
1. Manuais. 
2. Normas. 
3. Diretrizes. 
4. Relatório Estratégico. 
5. Procedimentos. 
 
148- São consideradas as principais causas das ocorrências de incidentes de segurança: 
1. Vulnerabilidades 
2. Ataques 
3. Informações 
4. Pessoas 
5. Ameaças 
 
149- Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos objetivos 
de segurança que deseje, normalmente irá utilizar um ou os três princípios considerados como fundamentais para 
atingir os objetivos da Segurança da Informação: 
1. Confidencialidade, Descrição e Integridade. 
2. Confidencialidade, Indisponibilidade e Integridade. 
3. Confidencialidade, Disponibilidade e Integridade. 
4. Confiabilidade, Disponibilidade e Integridade. 
5. Confiabilidade, Disponibilidade e Intencionalidade. 
 
150- Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? 
1. Fraco 
2. Passivo 
3. Forte 
4. Secreto 
5. Ativo 
 
151- Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de 
negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma 
empresa. Neste contexto qual o objetivo fundamental da ¿Segurança da Informação¿? 
1. Visam à proteção alguns poucos ativos de uma empresa que contêm informações. 
2. Visa à proteção dos equipamentos de uma empresa que contêm informações. 
3. Visa principalmente à proteção dos ativos patrimoniais que contêm informações. 
4. Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informações. 
5. Visa à proteção de todos os ativos de uma empresa que contêm informações. 
 
152- Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de 
¿Ativos de Informação¿? 
1. São aqueles que produzem, processam, reúnem ou expõem informações. 
2. São aqueles tratam, administram, isolam ou armazenam informações. 
3. São aqueles que produzem, processam, transmitem ou armazenam informações. 
4. São aqueles que organizam, processam, publicam ou destroem informações. 
5. São aqueles que constroem, dão acesso, transmitem ou armazenam informações. 
 
153- A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar lucros 
ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. No contexto da 
segurança da informação o que consiste o processo de classificação da informação ? 
1. Identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas 
de identificá-las, e determinar os controles de proteção para cada uma delas. 
2. Identificar quais são os níveis de vulnerabilidades que as informações demandam e estabelecer classes e 
formas de identificá-las, e determinar os riscos de proteção para cada uma delas. 
3. Identificar quais são os níveis de ameaças que as informações demandam e estabelecer classes e formas de 
identificá-las, e determinar os controles de proteção para cada uma delas. 
4. Identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de 
identificá-las, e determinar as ameaças de proteção para cada uma delas. 
5. Identificar quais são os níveis de vulnerabilidades que as informações demandam e estabelecer classes e 
formas de identificá-las, e determinar os controles de proteção para cada uma delas. 
 
154- O que ocorre quando uma ameaça explora uma ou mais vulnerabilidades de um ativo segundo osvconceitos da 
Segurança da Informação? 
1. Um Incidente de Segurança. 
2. Uma tentativa de Segurança. 
3. Um tratamento de vulnerabilidades. 
4. Uma falha na ameaça do ativo. 
5. Um acidente de Segurança da Informação. 
 
155- Marcelo é analista de suporte da empresa X e está responsável pela instalação dos equipamentos de rede. 
Durante a instalação do novo roteador, Marcelo saiu para tomar um café e não percebeu que ocorreram vários erros 
na instalação do equipamento. Neste caso ocorreu um exemplo de vulnerabilidade : 
1. Humana; 
2. Natural; 
3. De hardware; 
4. De Mídia; 
5. De Software; 
 
156- Você está alocado a um projeto de segurança da informação, que tem em uma das suas etapas a atividade de 
classificação dos ativos da organização. Qual das opções abaixo não representa um exemplo de Ativo Tangível: 
1. Sistemas. 
2. Marca de um Produto. 
3. Móveis. 
4. Documentos . 
5. Pessoas. 
 
157- Você trabalha em uma empresa de comércio eletrônico e descobriu que seu concorrente está tentando 
prejudicar os negócios de sua empresa através de um ataque DDoS. Como você classificaria este ataque: 
1. Forte 
2. Fraco 
3. Secreto 
4. Ativo 
5. Passivo158- As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos 
por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das 
ameaças quanto a sua intencionalidade? 
1. Ocasionais, Involuntárias e Obrigatórias. 
2. Naturais, Voluntarias e Obrigatórias. 
 
 
3. Naturais, Voluntarias e Vulneráveis. 
4. Naturais, Involuntárias e Voluntarias. 
5. Naturais, Involuntárias e Obrigatórias. 
 
159- O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela informação que a 
colocam em risco. Qual das opções abaixo apresenta os momentos vividos pela informação dentro do conceito do 
“Ciclo da Informação” ? 
1. Manuseio, Armazenamento, Transporte e Guarda. 
2. Manuseio, Armazenamento, Transporte e Descarte. 
3. Manuseio, Armazenamento, Utilização e Descarte. 
4. Troca, Armazenamento, Transporte e Descarte. 
5. Manuseio, Leitura, Transporte e Descarte. 
 
160- Você é o administrador de rede de um grande empresa e para complementar a implementação da Segurança 
da Informação em sua organização você instalou uma solução de antivírus, que neste caso está fundamentalmente 
associado a que tipo de proteção ? 
1. Reação 
2. Detecção 
3. Limitação 
4. Preventiva 
5. Correção 
 
161- Quando devem ser executadas as ações preventivas, no contexto de um SGSI (Sistema de Gestão de Segurança 
da Informação)? 
1. Devem ser executadas para determinar as causas de conformidades potenciais com os requisitos do SGSI, de 
forma a garantir a sua ocorrência. 
2. Devem ser executadas para eliminar as causas de não-conformidades potenciais com os requisitos do 
SGSI, de forma a evitar a sua ocorrência. 
3. Devem ser executadas para garantir as causas de não-conformidades potenciais com os requisitos do SGSI, 
de forma a evitar a sua ocorrência. 
4. Devem ser executadas para determinar as causas de não-conformidades potenciais com os requisitos do 
SGSI, de forma a evitar a sua ocorrência. 
5. Devem ser executadas para eliminar as causas de conformidades potenciais com os requisitos do SGSI, de 
forma a garantir a sua ocorrência. 
 
162- Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das 
opções abaixo Não representa um destes passos? 
1. Obtenção de Acesso 
2. Camuflagem das Evidencias 
3. Divulgação do Ataque 
4. Levantamento das Informações 
5. Exploração das Informações 
 
163- Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de 
proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? 
1. Vulnerabilidade. 
2. Risco. 
3. Valor. 
4. Impacto. 
5. Ameaça. 
 
164- A NBR ISO/IEC 27002 orienta que a organização assegurar que funcionários, fornecedores e terceiros entendam 
suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude 
ou mau uso dos recursos. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: 
1. Segurança dos Ativos. 
2. Gerenciamento das Operações e Comunicações. 
3. Controle de Acesso. 
4. Segurança Física e do Ambiente. 
5. Segurança em Recursos Humanos. 
Abertas 
No contexto da segurança da informação , defina os conceitos de Ativo, Vulnerabilidade e Ameaça. 
RESPOSTA: 
Ativo: qualquer coisa que tenha valor para a organização. Vulnerabilidade: A ausência de um mecanismo de 
proteção ou falhas em um mecanismo de proteção existente. Ameaça: Evento que tem potencial em si próprio 
para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes 
de situações inesperadas. 
 
No âmbito da segurança da Informação, uma das etapas de implementação é a classificação da Informação. Em que 
consiste o processo de classificação da Informação? 
RESPOSTA: O processo de classificação da informação consiste em identificar quais são os níveis de proteção que 
as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de 
proteção a cada uma delas. 
 
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo Fraggle e do tipo Smurf. 
Gabarito: Um ataque do tipo Fraggle consitem no envio de um excessivo número de pacotes PING para o domínio 
de broadcast da rede, tendo como endereço IP de origem, a vítima desejada. Dessa forma todos os hosts do 
domínio de broadcast irão responder para o endereço IP da vítima, que foi mascarado pelo atacante, ficando 
desabilitada de suas funções normais. Já um ataque do tipo smurf é idêntico ao atque Fraggle, alterando apenas o 
fato que utiliza-se de pacotes do protocolo UDP. 
 
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque 
de Buffer Overflow? 
Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que interagem 
com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma 
série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma 
aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que espera por uma entrada de 
dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados. 
 
Dado o caráter abstrato e intangível da informação, seu valor está associado a um contexto. A informação terá valor 
econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário 
poderá ter pouco ou nenhum valor. Neste sentido descreva o ciclo de vida da informação, identificando os 
momentos vividos pela informação. 
Gabarito: Manuseio: Momento em que a informação é criada e manipulada. Armazenamento: Momento em que a 
informação é armazenada. Transporte: Momento em que a informação é transportada. Descarte: Momento em 
que a informação é descartada. 
 
Um Analista de segurança deverá ter familiaridade com as ferramentas, técnicas, estratégias e metodologias de 
ataques conhecidos para que possa desta forma contribuir com a definição correta de quais contramedidas deverão 
ser adotadas pela organização. Descreva os cinco passos utilizados pelos atacantes para realizar um ataque: 
Gabarito: 
1- Levantamento das informações: fase de reconhecimento é uma fase preparatória onde o atacante procura 
coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. 
Podem ser: ativo e passivo. 
2- Exploração das informações (scanning): Fase onde o atacante explora a rede baseado nas informações obtidas 
na fase de reconhecimento. Pode ser considerado uma fase de pré-ataque envolve a utilização de diferentes 
técnicas e softwares, como por exemplo, a utilização de port scan, scanner de vulnerabilidade e network mapping. 
3- Obtenção do acesso: Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas 
as vulnerabilidades encontradas no sistema. Isto pode ocorrer através da internet, da rede local, fraude ou roubo. 
Nesta fase o atacante poderá obter acesso a nível de: sistema operacional, aplicação e rede. 
4- Manutenção do acesso: Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá 
também protêge-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, 
backdoors ou trojans. 
5- Camuflagem das evidências: Consiste na atividade realizada pelo atacante de tentar camuflar seus atos não 
autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos 
recursos computacionais 
 
Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança