GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

1a Questão (Ref.: 201707154257)
	 Fórum de Dúvidas (5 de 22)       Saiba  (1 de 3)
	
	Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a tecnologia da informação apóia as operações e processos das empresas, qual das opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo?
		
	
	O uso da internet para sites de relacionamento;
	 
	O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações;
	
	O crescimento explosivo dos cursos relacionados com a tecnologia da informação;
	
	O Aumento no consumo de softwares licenciados;
	
	O crescimento explosivo da venda de computadores e sistemas livres;
	
	
	
	
	 2a Questão (Ref.: 201707340056)
	 Fórum de Dúvidas (5 de 22)       Saiba  (1 de 3)
	
	No contexto da segurança da informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízos. Neste contexto elas podem ser:
1)      Físicas
2)      Lógicas
3)      Administrativas
 Analise as questões abaixo e relacione o tipo corretamente:
(        ) Procedimento
(        ) Fechadura
(        ) Firewall
(        ) Cadeado
(        ) Normas
		
	 
	2, 1, 2, 1, 3
	
	2, 2, 1, 3, 1
	 
	3, 1, 2, 1, 3
	
	3, 2, 1, 2, 3
	
	1, 3, 1, 3, 2
	
	
	
	
	 3a Questão (Ref.: 201707861488)
	 Fórum de Dúvidas (2 de 22)       Saiba  (3)
	
	Política de segurança é composta por um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade. Após sua criação ela deve ser:
		
	
	Armazenada em local seguro com acesso apenas por diretores e pessoas autorizadas.
	
	Escondida de toda a organização para garantir sua confidencialidade, integridade e disponibilidade.
	
	Comunicada apenas ao setor de tecnologia da informação de maneria rápida para que todos possam se manter focados no trabalho.
	 
	Comunicada a toda a organização para os usuários de uma forma que seja relevante, acessível e compreensível para o público-alvo.
	
	Comunicada apenas aos usuários que possuem acesso à Internet.
	
	 Gabarito Comentado
	
	
	 4a Questão (Ref.: 201707156878)
	 Fórum de Dúvidas (2 de 22)       Saiba  (3)
	
	Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no estudo e implementação de um processo de gestão de segurança em uma organização?
		
	
	Ameaça.
	
	Vulnerabilidade.
	
	Impacto .
	 
	insegurança
	
	Risco.
	
	
	
	
	 5a Questão (Ref.: 201707829225)
	 Fórum de Dúvidas (3 de 22)       Saiba  (3)
	
	Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do pagamento dos funcionários. Neste momento o sistema de Pagamento necessita ser acessado pela área de contabilidade, pois caso ocorra uma falha o pagamento dos funcionários não poderá ser realizado. Neste caso qual o pilar da segurança está envolvido:
		
	
	Legalidade
	 
	Disponibilidade
	
	Confidencialidade
	
	Confiabilidade
	
	Integridade
	
	
	
	
	 6a Questão (Ref.: 201707156969)
	 Fórum de Dúvidas (5 de 22)       Saiba  (1 de 3)
	
	O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas?
		
	
	Apoio aos Processos
	 
	Apoio ao uso da Internet e do ambiente wireless
	
	Apoio às Estratégias para vantagem competitiva
	
	Apoio à tomada de decisão empresarial
	
	Apoio às Operações
	
	
	
	
	 7a Questão (Ref.: 201707154250)
	 Fórum de Dúvidas (5 de 22)       Saiba  (1 de 3)
	
	A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do tratamento dos Dados para a sua utilização eficaz nas organizações?
		
	
	Dado - Conhecimento - Informação
	 
	Dado - Informação - Conhecimento
	
	Dado - Conhecimento Bruto - Informação Bruta
	
	Dado - Informação - Informação Bruta
	
	Dado - Informação - Dados Brutos
	
	
	
	
	 8a Questão (Ref.: 201707323074)
	 Fórum de Dúvidas (3 de 22)       Saiba  (3)
	
	A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor este princípio:
		
	
	Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados.
	
	Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada.
	
	Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou processos.
	 
	Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado.
	
	Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de cancelamento posterior.
	 1a Questão (Ref.: 201707323340)
	 Fórum de Dúvidas (3 de 9)       Saiba  (0)
	
	Valores são o conjunto de características de uma determinada pessoa ou organização, que determinam a forma como a pessoa ou organização se comportam e interagem com outros indivíduos e com o meio ambiente. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Qual a melhor definição para o valor de uso de uma informação:
		
	
	Reflete o custo substitutivo de um bem.
	
	Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas.
	
	É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda).
	
	Utiliza-se das propriedades inseridas nos dados.
	 
	Baseia-se na utilização final que se fará com a informação.
	
	
	
	
	 2a Questão (Ref.: 201707156845)
	 Fórum de Dúvidas (3 de 9)       Saiba  (0)
	
	Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de ¿Ativo de Informação¿?
		
	
	São aqueles que constroem, dão acesso, transmitem ou armazenam informações.
	
	São aqueles que organizam, processam, publicam ou destroem informações.
	 
	São aqueles que produzem, processam, transmitem ou armazenam informações.
	
	São aqueles tratam, administram, isolam ou armazenam informações.
	
	São aqueles que produzem, processam, reúnem ou expõem informações.
	
	 Gabarito Comentado
	 Gabarito Comentado
	
	
	 3a Questão (Ref.: 201707157055)
	 Fórum de Dúvidas (4 de 9)       Saiba  (0)
	
	A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para:
		
	
	A gestão de orçamento.A gestão do ciclo da informação interna.
	 
	A gestão dos negócios da organização .
	
	A gestão da área comercial.
	
	A gestão dos usuários.
	
	
	
	
	 4a Questão (Ref.: 201707156875)
	 Fórum de Dúvidas (4 de 9)       Saiba  (0)
	
	Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios considerados como fundamentais para atingir os objetivos da Segurança da Informação:
		
	
	Confiabilidade, Disponibilidade e Intencionalidade.
	 
	Confidencialidade, Disponibilidade e Integridade.
	
	Confiabilidade, Disponibilidade e Integridade.
	
	Confidencialidade, Indisponibilidade e Integridade.
	
	Confidencialidade, Descrição e Integridade.
	
	 Gabarito Comentado
	
	
	 5a Questão (Ref.: 201707157056)
	 Fórum de Dúvidas (9)       Saiba  (0)
	
	As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação?
		
	
	Fragilidade presente ou associada a ativos que exploram ou processam informações .
	 
	Fragilidade presente ou associada a ativos que manipulam ou processam informações .
	
	Ameaça presente ou associada a ativos que manipulam ou processam informações.
	
	Impacto presente ou associada a ativos que manipulam ou processam informações.
	
	Fragilidade presente ou associada a ameaças que manipulam ou processam informações .
	
	
	
	
	 6a Questão (Ref.: 201707157020)
	 Fórum de Dúvidas (3 de 9)       Saiba  (0)
	
	Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos sem causar danos à organização, podemos afirmar que ela possui qual nível de segurança?
		
	
	Confidencial.
	 
	Irrestrito.
	
	Interna.
	
	Secreta.
	
	As opções (a) e (c) estão corretas.
	
	
	
	
	 7a Questão (Ref.: 201707157011)
	 Fórum de Dúvidas (9)       Saiba  (0)
	
	Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta?
		
	
	Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações.
	
	Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações.
	
	Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a Disponibilidade das Informações.
	
	Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Probabilidade das Informações.
	 
	Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Disponibilidade das Informações.
	
	 Gabarito Comentado
	
	
	 8a Questão (Ref.: 201707157053)
	 Fórum de Dúvidas (3 de 9)       Saiba  (0)
	
	A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar lucros ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das opções abaixo apresenta os quatro aspectos importantes para a classificação das informações?
		
	
	Confiabilidade, integridade, vulnerabilidade e valor.
	 
	Confidencialidade, integridade, disponibilidade e vulnerabilidade .
	
	Confiabilidade, integridade, risco e valor.
	
	Confidencialidade, vulnerabilidade, disponibilidade e valor.
	 
	Confidencialidade, integridade, disponibilidade e valor.
	1a Questão (Ref.: 201707660863)
	 Fórum de Dúvidas (6 de 15)       Saiba  (1 de 1)
	
	Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.
		
	
	A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido.
	
	Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança.
	
	As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos.
	
	As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana.
	 
	O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.
	
	 Gabarito Comentado
	
	
	 2a Questão (Ref.: 201707340060)
	 Fórum de Dúvidas (1 de 15)       Saiba  (1)
	
	
Observe a figura acima e complete corretamente a legenda dos desenhos:
 
		
	
	Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios
	
	Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios
	
	Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos
	
	Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios
	 
	Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos
	
	 Gabarito Comentado
	
	
	 3a Questão (Ref.: 201707800942)
	 Fórum de Dúvidas (1 de 15)       Saiba  (1)
	
	Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas por ameaças, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir.
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. 
II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. 
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. 
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. 
Representam vulnerabilidades dos ativos de informação o que consta em:
		
	 
	I, III e IV, somente.
	
	II e III, somente.
	
	I, II, III e IV.
	
	I e III, somente.
	
	I, II e IV, somente.
	
	 Gabarito Comentado
	
	
	 4a Questão (Ref.: 201707800949)
	 Fórum de Dúvidas (1 de 15)       Saiba  (1)
	
	Em relação às vulnerabilidades de protocolos e aplicações de acesso remotos, assinale a afirmativa correta:
		
	
	Utilizando ferramentas específicas, é possível explorar a possibilidade de enviar mensagens anônimas a partir do IRC, gerando uma espécie de spoofing de mensagens, se o endereço IP e a porta IRC da vítima forem conhecidos.
	
	O Telnet é um padrão para acesso a terminais na Internet, que provê segurança por meio da autenticação de usuários, além de manter uma conexão com tráfego criptografado.
	
	Bots são softwares maliciosos e autônomos que se conectam por meio de um componente ICQ. Normalmente, o software usado para gerenciamento destes canais é modifi cado de forma que sirvam a mais bots e que não revelem a quantidade de bots associados.
	 
	Kerberos e SSH (Secure Shell) são soluções para autenticação remota com uso de criptografia, eliminando os problemas de soluções tais como o Telnet.
	
	É aconselhável colocar servidores de Terminal (Terminal Servers) fora da DMZ (De-Militarized Zone) para proteger a rede interna da organização.
	
	 Gabarito Comentado
	
	
	 5a Questão (Ref.: 201707360389)
	 Fórum de Dúvidas (1 de 15)       Saiba  (1)
	
	Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, ondea informação, independente do seu formato. Uma vez identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos definir o que são vulnerabilidades:
		
	
	São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc.
	
	É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL.
	
	Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.
	 
	Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações.
	
	Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computadores, incendiários.
	
	
	
	
	 6a Questão (Ref.: 201707800946)
	 Fórum de Dúvidas (6 de 15)       Saiba  (1 de 1)
	
	Uma pesquisa realizada pelos organizadores da Conferência Infosecurity Europe 2003 com trabalhadores de escritórios, que distribuía um brinde (de baixo valor) aos entrevistados, revelou que 75% deles se dispunham a revelar suas senhas em resposta a uma pergunta direta ("Qual é a sua senha?"), e outros 15% responderam a perguntas indiretas que levariam à determinação da senha. Esse experimento evidencia a grande vulnerabilidade dos ambientes computacionais a ataques de que tipo?
		
	
	Cavalos de tróia.
	
	Acesso físico.
	
	Vírus de computador.
	
	Back doors.
	 
	Engenharia social.
	
	 Gabarito Comentado
	
	
	 7a Questão (Ref.: 201707323422)
	 Fórum de Dúvidas (1 de 15)       Saiba  (1)
	
	As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware:
		
	 
	Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
	
	Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
	
	Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
	
	Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações.
	
	Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
	
	 Gabarito Comentado
	
	
	 8a Questão (Ref.: 201707718183)
	 Fórum de Dúvidas (1 de 15)       Saiba  (1)
	
	Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir. 
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. 
II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. 
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. 
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. 
Representam vulnerabilidades dos ativos de informação o que consta em:
		
	
	I, II, III e IV.
	
	I e III, somente.
	
	II e III, somente.
	
	I, II e IV, somente.
	 
	I, III e IV, somente.
	1a Questão (Ref.: 201707660869)
	 Fórum de Dúvidas (1 de 7)       Saiba  (1)
	
	O que são exploits?
		
	
	Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar por outra máquina, utilizando a técnica de Spoofing. Quando estas solicitações começarem a ser respondidas, o sistema alvo será inundado (flood) pelas respostas do servidor.
	
	Consiste no software de computador que recolhe a informação sobre um usuário do computador e transmite então esta informação a uma entidade externa sem o conhecimento ou o consentimento informado do usuário.
	
	É um programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o worm é um programa completo e não precisa de outro programa para se propagar.
	 
	São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são utilizados por pessoas sem conhecimento da vulnerabilidade.
	
	São programas utilizados para descobrir as senhas dos usuários. Estes programas geralmente são muito lentos, pois usam enormes dicionários com o máximo de combinações possíveis de senhas e ficam testando uma a uma até achar a senha armazenada no sistema
	
	 Gabarito Comentado
	
	
	 2a Questão (Ref.: 201707153798)
	 Fórum de Dúvidas (1 de 7)       Saiba  (1)
	
	Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso?
		
	
	Secreto
	
	Forte
	
	Passivo
	 
	Ativo
	
	Fraco
	
	 Gabarito Comentado
	
	
	 3a Questão (Ref.: 201707800950)
	 Fórum de Dúvidas (1 de 7)       Saiba  (1)
	
	Com relação as ameaças aos sistema de informação, assinale a opção correta:
		
	
	Worm é um programa ou parte de um programa de computador, usualmente malicioso, que se propaga ao criar cópias de si mesmo e, assim, se torna parte de outros programas e arquivos.
	
	Vírus é um programa que monitora as atividades de um sistema e envia informações relativas a essas atividades para terceiros. Um exemplo é o vírus keylogger que é capaz de armazenar os caracteres digitados pelo usuário de um computador.
	
	Bot é um programa capaz de se propagar, automaticamente, por rede, pois envia cópias de si mesmo de computador para computador, por meio de execução direta ou por exploração automática das vulnerabilidades existentes em programas instalados em computadores.
	 
	Backdoor é um programa que permite o acesso de uma máquina a um invasor de computador, pois assegura a acessibilidade a essa máquina em modo remoto, sem utilizar, novamente, os métodos de realização da invasão.
	
	Spyware é um programa que permite o controle remoto do agente invasor e é capaz de se propagar automaticamente, pois explora vulnerabilidades existentes em programas instalados em computadores.
	
	 Gabarito Comentado
	
	
	 4a Questão (Ref.: 201707793554)
	 Fórum de Dúvidas (5 de 7)       Saiba  (1 de 1)
	
	A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual de hackers mas na verdade estas pessoas tem amplo conhecimento de programação e noções de rede e internet, não desenvolvem vulnerabilidades e não tem intenção de roubar informações, estes na verdade são os crackers que invadem sistemas em rede ou computadores para obter vantagens muitas vezes financeiras. Verifique nas sentenças abaixo as que estão corretas em relação a descrição dos potenciais atacantes: I - Wannabes ou script kiddies São aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamentesuas façanhas e usam 99% dos casos de scripts conhecidos. II- Defacers Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou realizam chamadas sem tarifação. III- Pheakres São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web e modificá-las.
		
	
	Todas as sentenças estão corretas.
	
	As sentenças I e III estão corretas.
	
	As sentenças I e II estão corretas.
	
	As sentenças II e III estão corretas.
	 
	Apenas a sentença I está correta.
	
	 Gabarito Comentado
	
	
	 5a Questão (Ref.: 201707793557)
	 Fórum de Dúvidas (5 de 7)       Saiba  (1 de 1)
	
	As ameaças aproveitam das falhas de segurança da organização, que é considerado como ponto fraco, provocando possíveis danos, perdas e prejuízos aos negócios da empresa. Elas são constantes podendo acontecer a qualquer momento. Portanto é necessário conhecer profundamente qualquer tipo de vulnerabilidades para que não sejam comprometidos os princípios que se refere à segurança da informação. Quanto a sua intencionalidade elas podem ser classificadas como:
		
	
	Software, Hardware e Firmware.
	
	Físicas, Lógicas e Naturais.
	
	Comunicação, Físicas e Hardware.
	 
	Naturais, Involuntárias e voluntárias.
	
	Humanas, Mídias e Comunicação.
	
	 Gabarito Comentado
	
	
	 6a Questão (Ref.: 201707153774)
	 Fórum de Dúvidas (5 de 7)       Saiba  (1 de 1)
	
	Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador pode ser descrito como sendo um:
		
	 
	vírus
	
	keylogger
	
	exploit
	
	spyware
	
	backdoor
	
	
	
	
	 7a Questão (Ref.: 201707153791)
	 Fórum de Dúvidas (1 de 7)       Saiba  (1)
	
	As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classificadas como:
		
	
	Insconsequentes
	 
	Voluntárias
	
	Destrutivas
	
	Tecnológicas.
	
	Globalizadas
	
	 Gabarito Comentado
	
	
	 8a Questão (Ref.: 201707154256)
	 Fórum de Dúvidas (1 de 7)       Saiba  (1)
	
	Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça¿. Podemos dizer que é:
		
	 
	verdadeira
	
	falsa, pois não devemos considerar que diferentes ameaças existem .
	
	falsa, pois os impactos são sempre iguais para ameaças diferentes.
	
	parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça.
	
	falsa, pois não depende do ativo afetado.
	 1a Questão (Ref.: 201707153810)
	 Fórum de Dúvidas (3 de 7)       Saiba  (1)
	
	João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar?
		
	
	Fragmentação de pacotes IP
	
	Fraggle
	
	Port Scanning
	
	Ip Spoofing
	 
	SYN Flooding
	
	
	
	
	 2a Questão (Ref.: 201707153773)
	 Fórum de Dúvidas (2 de 7)       Saiba  (1 de 1)
	
	Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões?
		
	
	Fraco
	
	Ativo
	 
	Passivo
	
	Secreto
	
	Forte
	
	
	
	
	 3a Questão (Ref.: 201707153849)
	 Fórum de Dúvidas (3 de 7)       Saiba  (1)
	
	Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP , que foi mascarado pelo atacante.
		
	
	Phishing Scan
	
	Smurf
	
	Shrink Wrap Code
	
	Dumpster Diving ou Trashing
	 
	Fraggle
	
	 Gabarito Comentado
	
	
	 4a Questão (Ref.: 201707795115)
	 Fórum de Dúvidas (3 de 7)       Saiba  (1)
	
	Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: O ataque  explora a metodologia de estabelecimento de conexões do protocoloTCP, baseado no three-way-handshake. Desta forma  um grande número de requisições de conexão (pacotes SYN) é enviando, de tal maneira que o servidor não seja capaz de responder a todas elas. A pilha de memória sofre então um overflow e as requisições de conexões de usuários legítimos são, desta forma, desprezadas, prejudicando a disponibilidade do sistema.. Qual seria este ataque:
		
	
	Fraggle.
	
	Ip Spoofing.
	
	Packet Sniffing.
	 
	Syn Flooding.
	
	Port Scanning.
	
	 Gabarito Comentado
	
	
	 5a Questão (Ref.: 201707829744)
	 Fórum de Dúvidas (3 de 7)       Saiba  (1)
	
	Pedro construiu uma página igual a página de uma grande empresa de comércio eletrônico com o objetivo de capturar as informações de usuário e senha e número do cartão de crédito de usuários desavisados. Para obter sucesso enviou mensagem não solicitada com o intuito de induzir o acesso a esta página fraudulenta. Neste caso podemos afirmar que Pedro pratica um ataque de:
		
	
	Buffer Overflow
	 
	Phishing scan
	
	Força bruta
	
	IP Spoofing
	
	SYN Flooding
	
	
	
	
	 6a Questão (Ref.: 201707323479)
	 Fórum de Dúvidas (3 de 7)       Saiba  (1)
	
	Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Manutenção do acesso" nesta receita:
		
	 
	Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans.
	
	Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais.
	
	Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento.
	
	É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque.
	
	Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema.
	
	 Gabarito Comentado
	
	
	 7a Questão (Ref.: 201707153802)
	 Fórum de Dúvidas (3 de 7)       Saiba  (1)
	
	Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de
		
	
	Fraggle
	
	Smurf
	
	Fragmentação de Pacotes IP
	 
	SQL Injection
	
	Buffer Overflow
	
	 Gabarito Comentado
	 Gabarito Comentado
	
	
	 8a Questão (Ref.: 201707829741)
	 Fórum de Dúvidas (2 de 7)       Saiba  (1 de 1)
	
	Maria é secretária da presidência de uma empresa e responsável porelaborar as atas das reuniões entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria compartilhe as informações confidenciais que possui. Neste caso podemos afirmar que João está realizando um ataque do tipo:
		
	
	Conhecimento prévio
	
	Força bruta
	
	De conhecimento
	 
	Engenharia social
	
	escaneamento
	 1a Questão (Ref.: 201707153856)
	 Fórum de Dúvidas (2 de 5)       Saiba  (1)
	
	É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Qual das opções abaixo Não representa um destes propósitos?
		
	
	Conformidade Legal e a evidência da realização dos procedimentos corretos
	
	Preparação de um plano de continuidade de negócios.
	 
	Preparação de um plano para aceitar todos os Riscos
	
	Preparação de um plano de respostas a incidentes.
	
	Descrição dos requisitos de segurança da informação para um produto.
	
	 Gabarito Comentado
	
	
	 2a Questão (Ref.: 201707153857)
	 Fórum de Dúvidas (1 de 5)       Saiba  (1)
	
	Qual das opções abaixo não representa uma das etapas da Gestão de Risco:
		
	
	Identificar e avaliar os riscos.
	 
	Manter e melhorar os riscos identificados nos ativos
	
	Selecionar, implementar e operar controles para tratar os riscos.
	 
	Manter e melhorar os controles
	
	Verificar e analisar criticamente os riscos.
	
	
	
	
	 3a Questão (Ref.: 201707706524)
	 Fórum de Dúvidas (5)       Saiba  (1)
	
	Qual o nome do processo malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ?
		
	 
	Bot/Botnet
	
	Rootkit
	
	Spammer
	
	Spyware
	
	Phishing
	
	 Gabarito Comentado
	
	
	 4a Questão (Ref.: 201707323513)
	 Fórum de Dúvidas (2 de 5)       Saiba  (1)
	
	Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar":
		
	
	Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio.
	
	Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças.
	 
	Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco.
	
	Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões.
	
	Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação.
	
	 Gabarito Comentado
	
	
	 5a Questão (Ref.: 201707323517)
	 Fórum de Dúvidas (1 de 5)       Saiba  (1)
	
	Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter":
		
	
	Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco.
	 
	Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio.
	
	Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças.
	
	Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões.
	
	Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação.
	
	 Gabarito Comentado
	
	
	 6a Questão (Ref.: 201707153854)
	 Fórum de Dúvidas (2 de 5)       Saiba  (1)
	
	Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco:
		
	
	Risco real;
	
	Risco percebido;
	
	Risco tratado;
	
	Risco verdadeiro;
	 
	Risco residual;
	
	
	
	
	 7a Questão (Ref.: 201707153858)
	 Fórum de Dúvidas (1 de 5)       Saiba  (1)
	
	Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da Informação:
		
	
	Probabilidade de um ativo explorar uma ameaça.
	
	Probabilidade de um ativo explorar uma vulnerabilidade.
	
	Probabilidade de um incidente ocorrer mais vezes.
	
	Probabilidade de uma ameaça explorar um incidente.
	 
	Probabilidade de uma ameaça explorar uma vulnerabilidade
	
	
	
	
	 8a Questão (Ref.: 201707153853)
	 Fórum de Dúvidas (2 de 5)       Saiba  (1)
	
	Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de Banco de Dados, pretende instalar dispositivos de autenticação de acesso físico, que será implementado através de dispositivo biométrico. Neste caso que tipo de barreira você está implementando?
		
	
	Discriminar
	
	Desencorajar
	 
	Dificultar
	 
	Detectar
	
	Deter
	1a Questão (Ref.: 201707153872)
	 Fórum de Dúvidas (4)       Saiba  (0)
	
	Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes?
		
	
	Diretrizes.
	 
	Normas.
	
	Relatório Estratégico.
	
	Procedimentos.
	
	Manuais.
	
	 Gabarito Comentado
	
	
	 2a Questão (Ref.: 201707835632)
	 Fórum de Dúvidas (2 de 4)       Saiba  (0)
	
	A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é
		
	
	A base de dados e arquivos
	 
	A reputação da organização
	
	O equipamento de comunicação
	
	O serviço de iluminação
	
	O plano de continuidade do negócio.
	
	
	
	
	 3a Questão (Ref.: 201707154208)
	 Fórum de Dúvidas (4)       Saiba  (0)
	
	A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança:
		
	
	Gerenciamento das Operações e Comunicações.
	
	Segurança em Recursos Humanos.
	
	Segurança dos Ativos.
	 
	Segurança Física e do Ambiente.
	 
	Controle de Acesso.
	
	 Gabarito Comentado
	
	
	 4a Questão (Ref.: 201707328804)
	 Fórum de Dúvidas (2 de 4)       Saiba  (0)
	
	Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.
		
	
	Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
	 
	A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
	
	Qualquer atividade decomunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.
	
	Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
	
	Os riscos residuais são conhecidos antes da comunicação do risco.
	
	 Gabarito Comentado
	
	
	 5a Questão (Ref.: 201707835609)
	 Fórum de Dúvidas (4)       Saiba  (0)
	
	A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é:
		
	
	A base de dados e arquivos
	
	O equipamento de comunicação
	
	O plano de continuidade do negócio.
	 
	A reputação da organização
	
	O serviço de iluminação
	
	
	
	
	 6a Questão (Ref.: 201707663948)
	 Fórum de Dúvidas (2 de 4)       Saiba  (0)
	
	De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve:
		
	
	apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos.
	 
	ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização.
	
	revelar informações sensíveis da organização.
	
	conter o registro dos incidentes de segurança da organização.
	
	conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção.
	
	 Gabarito Comentado
	
	
	 7a Questão (Ref.: 201707172963)
	 Fórum de Dúvidas (4)       Saiba  (0)
	
	Um Firewall pode ser definido como uma coleção de componentes, colocada entre duas redes, que coletivamente possua propriedades que:
		
	
	garantem que apenas o tráfego de fora para dentro da rede deve passar por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação.
	
	independentemente da política de segurança adotada, tem como objetivo principal impedir a entrada de vírus em um computador, via arquivos anexados a e-mails.
	
	garantem que apenas o tráfego de dentro para fora da rede deve passar por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação.
	 
	garantem que todo o tráfego de dentro para fora da rede, e vice-versa, passe por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação.
	 
	garantem que todo o tráfego de dentro para fora da rede e vice-versa deve ser bloqueado, independentemente da política de segurança adotada. Todo firewall deve ser à prova de violação.
	
	
	
	
	 8a Questão (Ref.: 201707998358)
	 Fórum de Dúvidas (2 de 4)       Saiba  (0)
	
	Dada as assertivas, marque a opção correta: I- O risco tem duas dimensões: (i) probabilidade de ocorrência e (ii) impacto sobre o projeto. II- Dificilmente as chances de um risco ser totalmente eliminado é real. III- A gestão de riscos só visa o monitoramento para detecção de ameaças.
		
	
	Apenas II correta
	
	Apenas I e II corretas
	
	Apenas III correta
	
	Apenas II e III corretas
	 
	Apenas I correta
	1a Questão (Ref.: 201707913798)
	 Fórum de Dúvidas (1 de 4)       Saiba  (1)
	
	Sobre a afirmação: ¿irá definir que a informação é originária de quem diz originar, de forma a impedir que alterações na mensagem original confundam as partes envolvidas na comunicação. E, mesmo que haja alguma alteração na mensagem original, que seja passível de ser detectada¿. Podemos afirmar que estamos conceituando:
		
	
	Não-repúdio
	
	Legalidade
	
	Auditoria
	
	Confiança
	 
	Integridade
	
	
	
	
	 2a Questão (Ref.: 201707154239)
	 Fórum de Dúvidas (1 de 4)       Saiba  (1)
	
	A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:
		
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI.
	
	implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI.
	 
	implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado
	
	implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais.
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado.
	
	
	
	
	 3a Questão (Ref.: 201707241522)
	 Fórum de Dúvidas (1 de 4)       Saiba  (1)
	
	A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise:
		
	 
	A avaliação dos riscos e incidentes desejados
	
	Os resultados das auditorias anteriores e análises críticas
	 
	Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores
	
	A avaliação das ações preventivas e corretivas
	
	A realimentação por parte dos envolvidos no SGSI
	
	 Gabarito Comentado
	
	
	 4a Questão (Ref.: 201707154214)
	 Fórum de Dúvidas (4)       Saiba  (1)
	
	A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
		
	 
	Corretivas e Preventivas.
	
	Corretivas e Corrigidas.
	
	Corretivas e Correção.
	
	Prevenção e Preventivas.
	
	Corrigidas e Preventivas.
	
	
	
	
	 5a Questão (Ref.: 201707835639)
	 Fórum de Dúvidas (4)       Saiba  (1)
	
	Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de:
		
	
	Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
	
	Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes
	 
	Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização.
	
	Definir e medir a eficácia dos controles ou grupos de controle selecionados.
	
	Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
	
	
	
	
	 6a Questão (Ref.: 201707154241)
	 Fórum de Dúvidas (1 de 4)       Saiba  (1)
	
	A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ?
		
	 
	Preventiva.
	
	Limitação.
	
	Reação.
	
	Recuperação .
	
	Correção.
	
	
	
	
	 7a Questão (Ref.: 201707824632)
	 Fórum de Dúvidas (1 de 4)       Saiba  (1)
	
	O SGSItorna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do:
		
	
	Selecionar objetivos de controle e controles para o tratamento de riscos.
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação.
	
	A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.
	 
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	
	 Gabarito Comentado
	
	
	 8a Questão (Ref.: 201707718273)
	 Fórum de Dúvidas (1 de 4)       Saiba  (1)
	
	Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:
		
	
	III e IV.
	 
	II e III.
	
	II.
	
	I e III.
	
	I e II.
	 1a Questão (Ref.: 201707234533)
	 Fórum de Dúvidas (2)       Saiba  (0)
	
	Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que:
		
	
	As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas
	
	As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas
	 
	As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas
	
	As metas e objetivos definidos sejam comprometidos por interrupções inesperadas
	
	As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas
	
	
	
	
	 2a Questão (Ref.: 201707234525)
	 Fórum de Dúvidas (2)       Saiba  (0)
	
	Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações que você deve realizar:
		
	
	Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização.
	
	Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e serviços fundamentais para a organização.
	
	Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização.
	 
	Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização.
	
	Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de produtos e serviços fundamentais para a organização.
	
	 Gabarito Comentado
	
	
	 3a Questão (Ref.: 201707671553)
	 Fórum de Dúvidas (2)       Saiba  (0)
	
	Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)?
		
	
	O PRD é mais abrangente que o PCN.
	 
	O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados.
	
	O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-se na continuidade para todos os processos.
	
	O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação.
	
	O PCN só pode ser implementado se o PRD já tiver em uso.
	
	
	
	
	 4a Questão (Ref.: 201707157014)
	 Fórum de Dúvidas (2)       Saiba  (0)
	
	Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação relacionada à:
		
	
	Auditoria;
	
	Autenticidade;
	
	Confidencialidade;
	
	Não-Repúdio;
	 
	Integridade;
	
	
	
	
	 5a Questão (Ref.: 201707663982)
	 Fórum de Dúvidas (2 de 2)       Saiba  (0)
	
	Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações.
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento:
		
	
	Determinando a estratégia de continuidade de negócios.
	
	Entendendo a organização.
	
	Incluindo a GCN na cultura da organização.
	 
	Desenvolvendo e implementando uma resposta de GCN.
	
	Testando, mantendo e analisando criticamente os preparativos de GCN.
	
	 Gabarito Comentado
	
	
	 6a Questão (Ref.: 201707671557)
	 Fórum de Dúvidas (2)       Saiba  (0)
	
	Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre?
		
	
	Eventos de ordem natural ou acidental, como terremotos e incêndios.
	 
	Um evento que causa uma parada nos processos da organização por um período de tempo maior do que ela considera aceitável.
	
	Um ataque massivo pela internet.
	
	Uma catástrofe de grandes impactos.
	 
	Um evento súbito, que ocorre de maneira inesperada.
	
	 Gabarito Comentado
	
	
	 7a Questão (Ref.: 201707329800)
	 Fórum de Dúvidas (2 de 2)       Saiba  (0)
	
	BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios.Clara e Intelegível
	
	Natural e Desordenada
	 
	Qualitativa e Quantitativa
	
	Simples e Objetiva.
	
	Estatística e Ordenada
	
	
	
	
	 8a Questão (Ref.: 201707360622)
	 Fórum de Dúvidas (2 de 2)       Saiba  (0)
	
	O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"?
		
	
	A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
	
	Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
	
	Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.
	 
	Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações.
	 
	Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
	 1a Questão (Ref.: 201707234552)
	 Fórum de Dúvidas (4)       Saiba  (1)
	
	Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é correto afirmar que?
		
	
	A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes
	 
	A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave
	
	A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes
	
	A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas chaves
	
	A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a mesma chave
	
	 Gabarito Comentado
	 Gabarito Comentado
	
	
	 2a Questão (Ref.: 201707835654)
	 Fórum de Dúvidas (4)       Saiba  (1)
	
	A sub-rede, também conhecida como rede de perímetro, utilizada para transmitir informações entre uma rede confiável e uma não confiável, mantendo os serviços que possuem acesso externo separados da rede local, é chamada de:
		
	
	VPN
	
	Proxy
	 
	DMZ
	
	Firewall
	
	Intranet
	
	 Gabarito Comentado
	
	
	 3a Questão (Ref.: 201707998365)
	 Fórum de Dúvidas (4)       Saiba  (1)
	
	São exemplos de ativos associados a sistemas (pertinentes para a identificação de ameaças), exceto:
		
	
	Hardware
	
	Informação
	
	Serviços
	 
	Pessoas
	 
	Softwares
	
	
	
	
	 4a Questão (Ref.: 201707234542)
	 Fórum de Dúvidas (4)       Saiba  (1)
	
	Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar:
		
	
	Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede
	
	Um sniffer de rede, para analisar o tráfego da rede
	
	Um analisador de protocolo para auxiliar na análise do tráfego da rede
	 
	Um detector de intrusão para realizar a análise do tráfego da rede
	
	Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall
	
	
	
	
	 5a Questão (Ref.: 201707234547)
	 Fórum de Dúvidas (4)       Saiba  (1)
	
	Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar a conexão ou não a um serviço em uma rede modo indireto ?
		
	
	Firewall com Estado
	
	Filtro com Pacotes
	 
	Firewall Proxy
	
	Firewall Indireto
	
	Firewall de Borda
	
	
	
	
	 6a Questão (Ref.: 201707234539)
	 Fórum de Dúvidas (4)       Saiba  (1)
	
	Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida:
		
	 
	A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos.
	
	A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos.
	
	A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	 Gabarito Comentado
	
	
	 7a Questão (Ref.: 201707705417)
	 Fórum de Dúvidas (4)       Saiba  (1)
	
	Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar:
		
	
	Um analisador de espectro de rede, para analisar o tráfego da rede
	 
	Um detector de intrusão para realizar a análise do tráfego da rede
	
	Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall
	
	Um firewall para auxiliar na análise do tráfego da rede
	
	Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede
	
	 Gabarito Comentado
	
	
	 8a Questão (Ref.: 201707329787)
	 Fórum de Dúvidas (4)       Saiba  (1)
	
	Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e a internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados.
		
	
	Antivírus.
	
	Mailing.
	
	Adware.
	 
	Firewall.
	
	Spyware.