Baixe o app para aproveitar ainda mais
Prévia do material em texto
1a Questão (Ref.: 201201585266) Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma empresa. Neste contexto qual o objetivo fundamental da ¿Segurança da Informação¿? Visa principalmente à proteção dos ativos patrimoniais que contêm informações. Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informações. Visa à proteção dos equipamentos de uma empresa que contêm informações. Visam à proteção alguns poucos ativos de uma empresa que contêm informações. Visa à proteção de todos os ativos de uma empresa que contêm informações. 2a Questão (Ref.: 201201585396) No contexto da Segurança da Informação, a medida que indica a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos que ela trará está relacionada com qual conceito de? Vulnerabilidade. Risco. Ameaça. Valor. Impacto. 3a Questão (Ref.: 201201585374) O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual conceito? Valor. Vulnerabilidade. Ameaça. Risco. Impacto. 1a Questão (Ref.: 201201585437) Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada informação tem . Quando uma informação é classificada como aquela que a organização não tem interesse em divulgar, cujo acesso por parte de indivíduos externos a ela deve ser evitado, porém caso seja disponibilizada não causará danos sérios à organização, podemos afirmar que ela possui qual nível de segurança? Interna. Confidencial. Irrestrito. Secreta. Pública Confidencial. 2a Questão (Ref.: 201201585465) Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao seguinte conceito: "Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas"? Valor de restrição. Valor de negócio. Valor de troca. Valor de propriedade. Valor de uso. 3a Questão (Ref.: 201201585428) Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação relacionada à: Integridade; Não-Repúdio; Autenticidade; Confidencialidade; Auditoria; 1a Questão (Ref.: 201201757114) Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. 2a Questão (Ref.: 201201751802) As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física: Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. 3a Questão (Ref.: 201201656289) Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? Vulnerabilidade de Software Vulnerabilidade Natural Vulnerabilidade de Comunicação Vulnerabilidade Mídia Vulnerabilidade Física 1a Questão (Ref.: 201201751860) Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias: Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões. Erros propositais de instalação ou de configuração possibilitando acessos indevidos. Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc. Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. 2a Questão (Ref.: 201201768477) As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua intencionalidade: Natural, voluntária e involuntária Intencional, presencial e remota Voluntária, involuntária e intencional Intencional, proposital e natural Natural, presencial e remota 3a Questão (Ref.: 201201582188) Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador pode ser descrito como sendo um: backdoor keylogger exploit vírus spyware 1a Questão (Ref.: 201201582224) João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? Ip Spoofing Fraggle SYN Flooding Fragmentação de pacotes IPPort Scanning 2a Questão (Ref.: 201201582263) Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP , que foi mascarado pelo atacante. Dumpster Diving ou Trashing Smurf Phishing Scan Fraggle Shrink Wrap Code Clique aqui para visualizar o Gabarito Comentado desta questão. 3a Questão (Ref.: 201201582256) Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente segue para realizar um Ataque de Segurança : Obtenção, Exploração, Levantamento, Manutenção e Camuflagem Exploração, Levantamento, Obtenção, Manutenção e Camuflagem Obtenção, Levantamento, Exploração, Manutenção e Camuflagem Levantamento, Obtenção, Exploração, Manutenção e Camuflagem Levantamento, Exploração, Obtenção, Manutenção e Camuflagem 1a Questão (Ref.: 201201757193) Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento do risco, exceto: Identificar os riscos de segurança presentes. Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos. Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco. Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. Aplicar controles apropriados para reduzir os riscos. 2a Questão (Ref.: 201201582277) Qual das opções abaixo descreve melhor o conceito de "Risco" quando relacionado com a Segurança da Informação: Probabilidade de um incidente ocorrer mais vezes. Probabilidade de um ativo explorar uma vulnerabilidade Probabilidade de um ativo explorar uma ameaça. Probabilidade de uma ameaça explorar um incidente. Probabilidade de uma ameaça explorar uma vulnerabilidade 3a Questão (Ref.: 201201582286) Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes? Manuais. Procedimentos. Relatório Estratégico. Diretrizes. Normas. 1a Questão (Ref.: 201201768486) Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais: Classificação da informação, requisitos de negócio e análise de risco Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais Análise de vulnerabilidades, requisitos legais e classificação da informação Análise de risco, análise do impacto de negócio (BIA), classificação da informação Requisitos de negócio, Análise de risco, Requisitos legais Clique aqui para visualizar o Gabarito Comentado desta questão. 2a Questão (Ref.: 201201582291) Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos? Diretrizes; Normas e Procedimentos Diretrizes; Manuais e Procedimentos Diretrizes; Normas e Relatórios Manuais; Normas e Procedimentos Manuais; Normas e Relatórios 3a Questão (Ref.: 201201582289) Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: Análise/avaliação sistemática dos incidentes de segurança da informação Análise/avaliação sistemática dos riscos de segurança da informação Análise/orientação sistemática dos cenários de segurança da informação Identificação/avaliação sistemática dos eventos de segurança da informação Análise/revisão sistemática dos ativos de segurança da informação 1a Questão (Ref.: 201201582652) Quando devem ser executadas as ações corretivas? Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição 2a Questão (Ref.: 201201582669) Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações? Administrativa, Física e Programada. Lógica, Administrativa e Contábil. Lógica, Física e Programada. Administrativa, Contábil e Física. Administrativa, Física e Lógica. 3a Questão (Ref.: 201201582655) A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ? Recuperação . Preventiva. Correção. Reação. Limitação. 1a Questão (Ref.: 201201662941) Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos. A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. 2a Questão (Ref.: 201201662947) Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que: As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas As metas e objetivos definidos sejam comprometidos por interrupções inesperadas As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas 3a Questão (Ref.: 201201662948) Qual das opções abaixo apresenta as fases da implementaçãoda continuidade de negócio nas organizações ? Planejamento, maturação e desenvolvimento Manutenção, desenvolvimento e implementação do programa Planejamento, estudo e implementação do programa Planejamento, desenvolvimento e implementação do programa Manutenção, implementação do programa e maturação 1a Questão (Ref.: 201201662964) Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INCORRETA : Cada pessoa ou entidade mantém duas chaves A Chave Publica pode ser divulgada livremente A Chave Privada deve ser mantida em segredo pelo seu Dono A Chave Publica não pode ser divulgada livremente, somente a Chave Privada Chave Publica e Privada são utilizadas por algoritmos assimétricos 2a Questão (Ref.: 201201662949) Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? na Zona Desmilitarizada (DMZ) suja na Zona Desmilitarizada (DMZ) protegida na rede interna da organização em uma subrede interna protegida por um proxy ligado diretamente no roteador de borda 3a Questão (Ref.: 201201662953) Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos. A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
Compartilhar