Gestão de segurança da informação - Avaliando o aprendizado - Gabarito

Prévia do material em texto

1a Questão (Ref.: 201201585266) 
Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de 
negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma 
empresa. Neste contexto qual o objetivo fundamental da ¿Segurança da Informação¿? 
 
 
 
Visa principalmente à proteção dos ativos patrimoniais que contêm informações. 
 
Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informações. 
 
Visa à proteção dos equipamentos de uma empresa que contêm informações. 
 
Visam à proteção alguns poucos ativos de uma empresa que contêm informações. 
 Visa à proteção de todos os ativos de uma empresa que contêm informações. 
 
 
 
 
 
 2a Questão (Ref.: 201201585396) 
No contexto da Segurança da Informação, a medida que indica a probabilidade de uma determinada ameaça se 
concretizar, combinada com os impactos que ela trará está relacionada com qual conceito de? 
 
 
 
Vulnerabilidade. 
 Risco. 
 
Ameaça. 
 
Valor. 
 
Impacto. 
 
 
 
 
 
 3a Questão (Ref.: 201201585374) 
O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos 
diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual conceito? 
 
 
 
Valor. 
 
Vulnerabilidade. 
 Ameaça. 
 
Risco. 
 Impacto. 
 
1a Questão (Ref.: 201201585437) 
Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada 
informação tem . Quando uma informação é classificada como aquela que a organização não tem interesse em 
divulgar, cujo acesso por parte de indivíduos externos a ela deve ser evitado, porém caso seja disponibilizada 
não causará danos sérios à organização, podemos afirmar que ela possui qual nível de segurança? 
 
 
 Interna. 
 
Confidencial. 
 
Irrestrito. 
 
Secreta. 
 
Pública Confidencial. 
 
 
 
 
 
 2a Questão (Ref.: 201201585465) 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das 
opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao seguinte conceito: "Surge no 
caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas"? 
 
 
 Valor de restrição. 
 
Valor de negócio. 
 
Valor de troca. 
 
Valor de propriedade. 
 
Valor de uso. 
 
 
 
 
 
 3a Questão (Ref.: 201201585428) 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha 
na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um 
tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da 
informação relacionada à: 
 
 
 Integridade; 
 
Não-Repúdio; 
 
Autenticidade; 
 
Confidencialidade; 
 
Auditoria; 
 
1a Questão (Ref.: 201201757114) 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo 
com a ABNT NBR ISO/IEC 27005. 
 
 
 
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de 
incidentes de segurança. 
 O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
 
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente 
estabelecido. 
 
As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos 
 
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem 
humana. 
 
 
 
 
 
 2a Questão (Ref.: 201201751802) 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar 
privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de 
cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a 
Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física: 
 
 
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). 
 Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, 
perda de dados ou indisponibilidade de recursos quando necessários. 
 Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 
 
Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. 
 
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. 
 
 
 
 
 
 3a Questão (Ref.: 201201656289) 
Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os 
hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam 
os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o 
endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os 
dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? 
 
 
 Vulnerabilidade de Software 
 
Vulnerabilidade Natural 
 Vulnerabilidade de Comunicação 
 
Vulnerabilidade Mídia 
 
Vulnerabilidade Física 
 
1a Questão (Ref.: 201201751860) 
Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As 
consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios 
para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, 
alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de 
ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias: 
 
 
 Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser ocasionados 
por falha no treinamento, acidentes, erros ou omissões. 
 
Erros propositais de instalação ou de configuração possibilitando acessos indevidos. 
 
Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e 
etc. 
 
Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc. 
 Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas 
comunicações. 
 
 
 
 
 
 2a Questão (Ref.: 201201768477) 
As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua intencionalidade: 
 
 
 Natural, voluntária e involuntária 
 
Intencional, presencial e remota 
 Voluntária, involuntária e intencional 
 
Intencional, proposital e natural 
 
Natural, presencial e remota 
 
 
 
 3a Questão (Ref.: 201201582188) 
Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, 
isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador 
pode ser descrito como sendo um: 
 
 
 
backdoor 
 
keylogger 
 
exploit 
 vírus 
 
spyware 
 
1a Questão (Ref.: 201201582224) 
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede 
através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da 
empresa. Qual o tipo de ataque que o invasor está tentando utilizar? 
 
 
 
Ip Spoofing 
 
Fraggle 
 SYN Flooding 
 
Fragmentação de pacotes IPPort Scanning 
 
 
 
 
 
 2a Questão (Ref.: 201201582263) 
Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes 
PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP 
da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP 
, que foi mascarado pelo atacante. 
 
 
 
Dumpster Diving ou Trashing 
 Smurf 
 
Phishing Scan 
 Fraggle 
 
Shrink Wrap Code 
 Clique aqui para visualizar o Gabarito Comentado desta questão. 
 
 
 
 
 3a Questão (Ref.: 201201582256) 
Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente segue para 
realizar um Ataque de Segurança : 
 
 
 
Obtenção, Exploração, Levantamento, Manutenção e Camuflagem 
 
Exploração, Levantamento, Obtenção, Manutenção e Camuflagem 
 
Obtenção, Levantamento, Exploração, Manutenção e Camuflagem 
 
Levantamento, Obtenção, Exploração, Manutenção e Camuflagem 
 Levantamento, Exploração, Obtenção, Manutenção e Camuflagem 
 
1a Questão (Ref.: 201201757193) 
Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da 
Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o 
tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento 
do risco, exceto: 
 
 
 Identificar os riscos de segurança presentes. 
 
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos. 
 
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da 
organização e aos critérios para a aceitação do risco. 
 Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. 
 
Aplicar controles apropriados para reduzir os riscos. 
 
 
 
 
 
 2a Questão (Ref.: 201201582277) 
Qual das opções abaixo descreve melhor o conceito de "Risco" quando relacionado com a Segurança da 
Informação: 
 
 
 Probabilidade de um incidente ocorrer mais vezes. 
 
Probabilidade de um ativo explorar uma vulnerabilidade 
 
Probabilidade de um ativo explorar uma ameaça. 
 
Probabilidade de uma ameaça explorar um incidente. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade 
 
 
 
 
 
 3a Questão (Ref.: 201201582286) 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são 
especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para 
alcançar a estratégia definida nas diretrizes? 
 
 
 
Manuais. 
 
Procedimentos. 
 
Relatório Estratégico. 
 Diretrizes. 
 Normas. 
 
1a Questão (Ref.: 201201768486) 
Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da 
informação, através de três fontes principais: 
 
 
 
Classificação da informação, requisitos de negócio e análise de risco 
 
Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais 
 
Análise de vulnerabilidades, requisitos legais e classificação da informação 
 
Análise de risco, análise do impacto de negócio (BIA), classificação da informação 
 Requisitos de negócio, Análise de risco, Requisitos legais 
 Clique aqui para visualizar o Gabarito Comentado desta questão. 
 
 
 
 
 2a Questão (Ref.: 201201582291) 
Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. 
Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta 
um conjunto típico destes documentos? 
 
 
 Diretrizes; Normas e Procedimentos 
 
Diretrizes; Manuais e Procedimentos 
 
Diretrizes; Normas e Relatórios 
 
Manuais; Normas e Procedimentos 
 
Manuais; Normas e Relatórios 
 
 
 
 
 
 3a Questão (Ref.: 201201582289) 
Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: 
 
 
 
Análise/avaliação sistemática dos incidentes de segurança da informação 
 Análise/avaliação sistemática dos riscos de segurança da informação 
 
Análise/orientação sistemática dos cenários de segurança da informação 
 
Identificação/avaliação sistemática dos eventos de segurança da informação 
 
Análise/revisão sistemática dos ativos de segurança da informação 
 
1a Questão (Ref.: 201201582652) 
Quando devem ser executadas as ações corretivas? 
 
 
 
Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma 
a evitar a sua repetição 
 
Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a 
evitar a sua repetição 
 Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma 
a evitar a sua repetição 
 Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a 
sua repetição 
 
Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do 
SGSI de forma a evitar a sua repetição 
 
 
 
 
 
 2a Questão (Ref.: 201201582669) 
Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de 
situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção 
possíveis de serem aplicadas às organizações? 
 
 
 
Administrativa, Física e Programada. 
 
Lógica, Administrativa e Contábil. 
 
Lógica, Física e Programada. 
 
Administrativa, Contábil e Física. 
 Administrativa, Física e Lógica. 
 
 
 
 
 
 3a Questão (Ref.: 201201582655) 
A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a 
que tipo de proteção ? 
 
 
 
Recuperação . 
 Preventiva. 
 
Correção. 
 
Reação. 
 
Limitação. 
 
1a Questão (Ref.: 201201662941) 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você 
está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção 
que melhor retrata a estratégia a ser definida: 
 
 
 
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e 
seus efeitos. 
 
A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e 
seus efeitos. 
 
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e 
seus efeitos. 
 A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de 
incidentes e seus efeitos. 
 
A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
 
 
 
 
 
 2a Questão (Ref.: 201201662947) 
Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da 
organização para garantir que: 
 
 As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas 
 
As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas 
 
As metas e objetivos definidos sejam comprometidos por interrupções inesperadas 
 
As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas 
 
As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas 
 
 
 
 
 
 3a Questão (Ref.: 201201662948) 
Qual das opções abaixo apresenta as fases da implementaçãoda continuidade de negócio nas organizações ? 
 
 
 
Planejamento, maturação e desenvolvimento 
 
Manutenção, desenvolvimento e implementação do programa 
 
Planejamento, estudo e implementação do programa 
 Planejamento, desenvolvimento e implementação do programa 
 
Manutenção, implementação do programa e maturação 
 
1a Questão (Ref.: 201201662964) 
Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INCORRETA : 
 
 
 
Cada pessoa ou entidade mantém duas chaves 
 
A Chave Publica pode ser divulgada livremente 
 
A Chave Privada deve ser mantida em segredo pelo seu Dono 
 A Chave Publica não pode ser divulgada livremente, somente a Chave Privada 
 
Chave Publica e Privada são utilizadas por algoritmos assimétricos 
 
 
 
 
 
 2a Questão (Ref.: 201201662949) 
Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor 
Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual 
tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de 
segurança? 
 
 
 
na Zona Desmilitarizada (DMZ) suja 
 na Zona Desmilitarizada (DMZ) protegida 
 
na rede interna da organização 
 
em uma subrede interna protegida por um proxy 
 
ligado diretamente no roteador de borda 
 
 
 
 
 
 3a Questão (Ref.: 201201662953) 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você 
está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção 
que melhor retrata a estratégia a ser definida: 
 
 
 A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de 
incidentes e seus efeitos. 
 
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e 
seus efeitos. 
 
A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e 
seus efeitos. 
 
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e 
seus efeitos. 
 
A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos.