EXERCICIOS GESTAO DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

EXERCICIOS 
GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
 
 
 1a Questão (Ref.: 201201982561) 
Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de 
diversas propriedade e que permitem a organização deste ativos em grupos com características semelhantes no 
que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções abaixo define a 
classificação dos tipos de ativos? 
 
 Tangível e Intangível. 
 
Contábil e Não Contábil. 
 
Tangível e Físico. 
 
Intangível e Qualitativo. 
 
Material e Tangível. 
 
 
 
 2a Questão (Ref.: 201201982543) 
O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma 
determinada ameaça causará está relacionado com qual conceito de? 
 
 
Valor. 
 
Risco. 
 Impacto. 
 
Vulnerabilidade. 
 
Ameaça. 
 
 
 
 3a Questão (Ref.: 201201979832) 
A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses 
dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do tratamento 
dos Dados para a sua utilização eficaz nas organizações? 
 
 
Dado - Conhecimento Bruto - Informação Bruta 
 
Dado - Conhecimento - Informação 
 Dado - Informação - Conhecimento 
 
Dado - Informação - Dados Brutos 
 
Dado - Informação - Informação Bruta 
 
 
 
 4a Questão (Ref.: 201201982438) 
Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de 
proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? 
 
 
Valor. 
 
Impacto. 
 Vulnerabilidade. 
 
Risco. 
 
Ameaça. 
 
 
 
 5a Questão (Ref.: 201202165638) 
No contexto da segurança da informação as proteções são medidas que visam livrar os ativos de 
situações que possam trazer prejuízos. Neste contexto elas podem ser: 
1) Físicas 
2) Lógicas 
3) Administrativas 
 Analise as questões abaixo e relacione o tipo corretamente: 
( ) Procedimento 
( ) Fechadura 
( ) Firewall 
( ) Cadeado 
( ) Normas 
 
 
3, 2, 1, 2, 3 
 
2, 2, 1, 3, 1 
 
1, 3, 1, 3, 2 
 3, 1, 2, 1, 3 
 
2, 1, 2, 1, 3 
 
 
 
 6a Questão (Ref.: 201201982403) 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de 
tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao 
conceito de "Informação"? 
 
 Por si só não conduz a uma compreensão de determinado fato ou situação; 
 
É a matéria-prima para o processo administrativo da tomada de decisão; 
 
Possui valor e deve ser protegida; 
 
Pode habilitar a empresa a alcançar seus objetivos estratégicos; 
 É dado trabalhado, que permite ao executivo tomar decisões; 
 
 7a Questão (Ref.: 201201982596) 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha 
na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um 
tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da 
informação relacionada à: 
 
 
Autenticidade; 
 
Não-Repúdio; 
 
Auditoria; 
 Integridade; 
 
Confidencialidade; 
 
 
 
 8a Questão (Ref.: 201201982427) 
Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de 
¿Ativo de Informação¿? 
 
 
São aqueles que produzem, processam, reúnem ou expõem informações. 
 São aqueles que constroem, dão acesso, transmitem ou armazenam informações. 
 São aqueles que produzem, processam, transmitem ou armazenam informações. 
 
São aqueles tratam, administram, isolam ou armazenam informações. 
 
São aqueles que organizam, processam, publicam ou destroem informações. 
 
 
 
 9a Questão (Ref.: 201201979840) 
O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos 
anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração 
desses dados de forma confiável. Neste contexto qual das opções abaixo poderá definir melhor o conceito de 
¿Dado¿? 
 
 
Elemento identificado em sua forma trabalhada e que por si só conduz a várias compreensões de fatos 
e situações. 
 Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões de fatos ou 
situações. 
 
Elemento não identificado e que por si só não conduz a uma compreensão de determinado fato ou 
situação. 
 
Elemento identificado em sua forma trabalhada que por si só não conduz a uma compreensão de 
determinado fato ou situação 
 Elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de 
determinado fato ou situação. 
 
 
 
 10a Questão (Ref.: 201201982633) 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das 
opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao seguinte conceito: "Surge no 
caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas"? 
 
 
Valor de negócio. 
 
Valor de propriedade. 
 
Valor de troca. 
 
Valor de uso. 
 Valor de restrição. 
 
 
 
 11a Questão (Ref.: 201201982597) 
Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo 
financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua 
empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você 
classificaria estas informações em qual nível de segurança? 
 
 
Interna. 
 
Pública. 
 
Irrestrito. 
 Secreta. 
 Confidencial. 
 
 
 
 12a Questão (Ref.: 201201982595) 
O advento da internet e a globalização transformaram completamente o mundo que vivemos e 
consequentemente estão revolucionando o modo de operação das empresas . A demanda gradual por 
armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. 
Por que as organizações devem proteger as suas informações? 
 
 Pelos seus valores estratégicos e financeiros. 
 
Pelos seus valores estratégicos e qualitativos. 
 
Pelos seus valores internos e qualitativos. 
 
Somente pelos seus valores qualitativos e financeiros. 
 
Somente pelo seu valor financeiro . 
 
 
 
 
 13a Questão (Ref.: 201202154282) 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo 
com a ABNT NBR ISO/IEC 27005. 
 
 As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos 
 
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente 
estabelecido. 
 
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem 
humana. 
 O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
 
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de 
incidentes de segurança. 
 
 
 
 14a Questão (Ref.: 201202053457) 
Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os 
hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam 
os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o 
endereço do Bradescocomo sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os 
dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? 
 
 
Vulnerabilidade Natural 
 
Vulnerabilidade Física 
 Vulnerabilidade de Software 
 
Vulnerabilidade Mídia 
 
Vulnerabilidade de Comunicação 
 
 
 
 15a Questão (Ref.: 201202149004) 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar 
privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de 
cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação 
das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware: 
 
 Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. 
 
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de 
energia). 
 
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas 
comunicações. 
 
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. 
 
Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 
 
 
 
 16a Questão (Ref.: 201202053455) 
As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim 
foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na 
China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a 
acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas 
pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas 
desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? 
 
 
Vulnerabilidade Mídia 
 
Vulnerabilidade Física 
 
Vulnerabilidade Comunicação 
 
Vulnerabilidade Natural 
 Vulnerabilidade de Software 
 
 
 
 17a Questão (Ref.: 201202053454) 
Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, 
antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de 
natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para 
varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi 
utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não 
comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a 
vulnerabilidade para este ataque? 
 
 
Vulnerabilidade Comunicação 
 Vulnerabilidade Software 
 
Vulnerabilidade Natural 
 
Vulnerabilidade Física 
 
Vulnerabilidade Mídias 
 
 
 
 18a Questão (Ref.: 201202148970) 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar 
privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de 
cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a 
Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física: 
 
 
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. 
 
Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, 
perda de dados ou indisponibilidade de recursos quando necessários. 
 Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 
 
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). 
 
Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. 
 Gabarito Comentado. 
 
 
 
 
 19a Questão (Ref.: 201201979359) 
Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua 
origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? 
 
 
Secreta e Externa 
 Interna e Externa 
 
Interna e Oculta 
 
Secreta e Oculta 
 
Conhecida e Externa 
 
 
 
 20a Questão (Ref.: 201202165645) 
As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua intencionalidade: 
 
 
Natural, presencial e remota 
 Natural, voluntária e involuntária 
 
Intencional, proposital e natural 
 
Intencional, presencial e remota 
 
Voluntária, involuntária e intencional 
 Gabarito Comentado. 
 
 
 
 
 21a Questão (Ref.: 201202154285) 
Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias 
maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com 
uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa 
de cartão de crédito ou um site de comércio eletrônico. 
 
 
Wabbit. 
 
Trojans. 
 Phishing. 
 
Hijackers. 
 
Exploits. 
 Gabarito Comentado. 
 
 
 
 
 22a Questão (Ref.: 201201979366) 
Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? 
 
 
Captura de outras senhas usadas em sites de comércio eletrônico; 
 
Alteração da página inicial apresentada no browser do usuário; 
 
Captura de senhas bancárias e números de cartões de crédito; 
 Alteração ou destruição de arquivos; 
 
Monitoramento de URLs acessadas enquanto o usuário navega na Internet 
 
 
 
 23a Questão (Ref.: 201201979378) 
O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador 
que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números 
de cartões de crédito é conhecido como: 
 
 
backdoor 
 
vírus 
 Keylogger 
 
Spyware 
 
exploit 
 
 
 
 24a Questão (Ref.: 201202497149) 
Na categoria de software malicioso (malware), assinale a alternativa que identifica uma ameaça que consiste no 
envio de uma mensagem não-solicitada, que procura induzir o destinatário a fornecer dados pessoais ou 
financeiros, tais como senhas, número do CPF e número da conta-corrente. 
 
 Phishing 
 
Vírus de boot 
 
Hoaxes (boatos) 
 
Cavalo de troia 
 
Keylogger (espião de teclado) 
 
 
 
 25a Questão (Ref.: 201201979412) 
Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de 
dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não 
autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os 
arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque? 
 
 
Obtenção de Acesso 
 
Exploração das Informações 
 
Levantamento das Informações 
 Camuflagem das Evidências 
 
Divulgação do Ataque 
 
 
 
 26a Questão (Ref.: 201201979425) 
Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das 
opções abaixo Não representa um destes passos? 
 
 
Exploração das Informações 
 Divulgação do Ataque 
 
Levantamento das Informações 
 
Camuflagem das Evidências 
 
Obtenção de Acesso 
 
 
 
 27a Questão (Ref.: 201201979427) 
Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas.Qual das opções 
abaixo Não representa um destes tipos de ataques? 
 
 
Ataque para Obtenção de Informações 
 
Ataque à Aplicação 
 
Ataque aos Sistemas Operacionais 
 
Ataque de Configuração mal feita 
 Ataques Genéricos 
 
 
 
 28a Questão (Ref.: 201201979355) 
Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? 
 
 
Forte 
 Passivo 
 
Secreto 
 
Ativo 
 
Fraco 
 
 
 
 29a Questão (Ref.: 201201979431) 
Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes 
PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP 
da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP 
, que foi mascarado pelo atacante. 
 
 
Dumpster Diving ou Trashing 
 Smurf 
 Fraggle 
 
Shrink Wrap Code 
 
Phishing Scan 
 Gabarito Comentado. 
 
 
 
 
 30a Questão (Ref.: 201202149061) 
Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas 
de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas 
e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão 
urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor 
forma de definir a fase de "Manutenção do acesso" nesta receita: 
 
 
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. 
 
Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as 
vulnerabilidades encontradas no sistema. 
 
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados 
com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos 
recursos computacionais. 
 
É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre 
o ¿alvo em avaliação¿ antes do lançamento do ataque. 
 Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de 
outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou 
trojans. 
 Gabarito Comentado. 
 
 
 
 
 31a Questão (Ref.: 201201979448) 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são 
utilizados termos numéricos para os componentes associados ao risco. 
 
 
Método Numérico. 
 
Método Qualitativo 
 
Método Classificatório 
 Método Quantitativo 
 
Método Exploratório. 
 
 
 
 32a Questão (Ref.: 201202489511) 
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da 
informação. 
 
 A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a 
aceitação do plano de tratamento do risco pelos gestores da organização. 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
 
 
 
 33a Questão (Ref.: 201202149099) 
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a 
qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. 
Neste sentido podemos definir a barreira "Deter": 
 
 Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e 
instrumentem os gestores da segurança na detecção de situações de risco. 
 Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. 
 
Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as 
ameaças. 
 
Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, 
definindo perfis e autorizando permissões. 
 
Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de 
segurança da informação. 
 
 
 
 34a Questão (Ref.: 201202149095) 
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a 
qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. 
Neste sentido podemos definir a barreira "Detectar": 
 
 
Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de 
segurança da informação. 
 
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. 
 
Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. 
 
Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, 
definindo perfis e autorizando permissões. 
 Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e 
instrumentem os gestores da segurança na detecção de situações de risco. 
 
 
 
 35a Questão (Ref.: 201201979440) 
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da 
Informação: 
 
 
Probabilidade de um ativo explorar uma vulnerabilidade. 
 
Probabilidade de uma ameaça explorar um incidente. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade 
 
Probabilidade de um incidente ocorrer mais vezes. 
 
Probabilidade de um ativo explorar uma ameaça. 
 
 
 
 36a Questão (Ref.: 201201979435) 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de Banco de 
Dados, pretende instalar dispositivos de autenticação de acesso físico, que será implementado através de 
dispositivo biométrico. Neste caso que tipo de barreira você está implementando? 
 
 Dificultar 
 
Desencorajar 
 
Discriminar 
 
Deter 
 
Detectar 
 
 
 
 37a Questão (Ref.: 201202489517) 
Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 
1) Comitê de segurança da informação. 
2) Controle. 
3) Funções de software e hardware. 
4) Deve ser analisado criticamente. 
5) Política. 
( ) Controle. 
( ) Firewall. 
( ) estrutura organizacional. 
( ) Permissão de acesso a um servidor. 
( ) Ampla divulgação das normas de segurança da informação. 
A combinação correta entre as duas colunas é: 
 
 
1-2-4-3-5. 
 
5-1-4-3-2. 
 4-3-5-2-1. 
 
2-3-1-5-4. 
 4-3-1-2-5. 
 
 
 
 38a Questão (Ref.: 201202497129) 
Analise as opções, qual dos controles abaixo é um controle físico para segurança física? 
 
 
Firewall 
 Treinamento dos colaboradores. 
 Iluminação. 
 
Procedimentos de resposta a incidentes de segurança física 
 
Material das instalações. 
 
 
 
 39a Questão (Ref.: 201202489539) 
A respeito da norma ISO/IEC 27002/2005 julgue os itens seguintes: 
1. Para se obter uma certificação segundo a norma ISO/IEC 27002/2005 será necessário, entre outros 
controles, proteger dados pessoais e privacidade das pessoas, Os registros da organização, e, os direitos de 
propriedade intelectual. 
2. São fontes de requisitos de Segurança da Informação, segundo a supracitada norma, a análise de riscos, a 
legislação pertinente e os princípio organizacionais. 
3. Para estar em conformidade com supracitada norma, todos os controles nela previstos devem serimplantados em qualquer tipo de Organização. 
4. Segundo a supracitada norma, a delegação de responsabilidades e o treinamento formal dos usuários nos 
princípios de Segurança da Informação, são considerados requisitos "essenciais" de Segurança da Informação. 
Assinale a opção correta: 
 
 As afirmativas 1, 3, 4 estão corretas. 
 
Apenas a afirmativa 2 está correta. 
 
A afirmativa 4 é verdadeira e a 2 é falsa. 
 Todas as afirmativas são falsas. 
 
Apenas as afirmativas 2 e 3 não estão corretas. 
 
 
 
 40a Questão (Ref.: 201202185990) 
A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem 
como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão 
de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do 
Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: 
 
 
São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus 
parceiros comerciais, contratados e provedores de serviço tem que atender. 
 
Uma orientação de como a organização deve proceder para estabelecer a política de segurança da 
informação. 
 É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem 
que desenvolver para apoiar suas operações. 
 A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas 
responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, 
fraude ou mau uso dos recursos. 
 
Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com 
as instalações e informações da organização. 
 
 
 
 41a Questão (Ref.: 201201979785) 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são 
definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à 
sua gestão de acordo com a visão estratégica da alta direção? 
 
 
Procedimentos. 
 
Normas. 
 
Relatório Estratégico. 
 Diretrizes. 
 
Manuais. 
 Gabarito Comentado. 
 
 
 
 
 42a Questão (Ref.: 201201979457) 
Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: 
 
 Análise/avaliação sistemática dos riscos de segurança da informação 
 
Análise/avaliação sistemática dos incidentes de segurança da informação 
 
Análise/revisão sistemática dos ativos de segurança da informação 
 
Identificação/avaliação sistemática dos eventos de segurança da informação 
 
Análise/orientação sistemática dos cenários de segurança da informação 
 
 
 
 
 43a Questão (Ref.: 201202067103) 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
 
 Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR 
ISO/IEC 27001. 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos 
da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 
 
 
 44a Questão (Ref.: 201202186345) 
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o 
SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua 
gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do 
SGSI. Podemos dizer que uma das características da fase "Plan" é: 
 
 
A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, 
buscando não burocratizar o funcionamento das áreas. 
 
Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão 
apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos 
do SGSI. 
 
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados 
das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos 
resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os 
incidente de segurança da informação. 
 O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e 
tecnologia. 
 
 
 
 45a Questão (Ref.: 201202155356) 
Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança 
da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de 
Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da 
informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto 
mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA 
DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: 
 
 
A política do BIA. 
 
A abordagem de análise/avaliação das vulnerabilidades da organização. 
 
Identificar e avaliar as opções para o tratamento das vulnerabilidades. 
 Identificar, Analisar e avaliar os riscos. 
 
A politica de gestão de continuidade de negócio. 
 
 
 
 46a Questão (Ref.: 201202165663) 
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são 
genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios 
de implementação da norma ISO/IEC 27001 em qualquer organização: 
 
 
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas 
 Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do 
SGSI 
 
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de 
segurança da informação. 
 Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI 
pela direção e Melhoria do SGSI 
 
Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e 
análise de risco. 
 
 
 
 47a Questão (Ref.: 201202067106) 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos 
eventos monitorados e através de ações: 
 
 
Corretivas e Correção 
 
Corrigidas e Preventivas 
 Corretivas e Preventivas 
 
Corretivas e Corrigidas 
 
Prevenção e Preventivas 
 
 
 
 48a Questão (Ref.: 201202067109) 
Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a 
organização certificada: 
 
 
implementou um sistema para gerência da segurança da informação de acordo fundamentado nos 
desejos de segurança dos Gerentes de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais 
das empresas de TI. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrõese 
melhores práticas de segurança reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com os desejos de 
segurança dos funcionários e padrões comerciais. 
 
 
 
 
 
 
 
 
 
 49a Questão (Ref.: 201202060109) 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você 
está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção 
que melhor retrata a estratégia a ser definida: 
 
 
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e 
seus efeitos. 
 A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de 
incidentes e seus efeitos. 
 
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e 
seus efeitos. 
 
A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
 
A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e 
seus efeitos. 
 
 
 
 50a Questão (Ref.: 201202165668) 
Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as 
organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o 
perfeito dimensionamento das demais fases de elaboração do plano de continuidade ? 
 
 
Análise de vulnerabilidade 
 
Análise de risco 
 
Auditoria interna 
 
Classificação da informação 
 Análise de impacto dos negócios (BIA) 
 Gabarito Comentado. 
 
 
 
 
 51a Questão (Ref.: 201202155382) 
BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no 
Negócio que tem por finalidade apresentar todos os prováveis impactos de forma 
............................e........................... dos principais processos de negócios mapeados e entendidos na 
organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, 
norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios. 
 
 Clara e Intelegível 
 Qualitativa e Quantitativa 
 
Simples e Objetiva. 
 
Estatística e Ordenada 
 
Natural e Desordenada 
 
 
 
 52a Questão (Ref.: 201202060116) 
Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ? 
 
 Planejamento, estudo e implementação do programa 
 
Planejamento, maturação e desenvolvimento 
 
Manutenção, implementação do programa e maturação 
 Planejamento, desenvolvimento e implementação do programa 
 
Manutenção, desenvolvimento e implementação do programa 
 
 
 
 53a Questão (Ref.: 201202060105) 
Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual 
das opções abaixo não está em conformidade com as orientações da norma citada? 
 
 
Controlar o incidente 
 
Confirmar a natureza e extensão do incidente 
 Afastar o incidente do cliente 
 
Tomar controle da situação 
 
Comunicar-se com as partes interessadas 
 
 
 
 54a Questão (Ref.: 201202060115) 
Na implantação da Gestão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da 
organização para garantir que: 
 
 As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas 
 
As metas e objetivos definidos sejam comprometidos por interrupções inesperadas 
 
As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas 
 
As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas 
 
As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas 
 
 
 
 55a Questão (Ref.: 201202060117) 
Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor 
Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual 
tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de 
segurança? 
 
 na Zona Desmilitarizada (DMZ) protegida 
 
ligado diretamente no roteador de borda 
 em uma subrede interna protegida por um proxy 
 
na rede interna da organização 
 
na Zona Desmilitarizada (DMZ) suja 
 
 
 
 56a Questão (Ref.: 201202014617) 
A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo 
(inseguro), é conhecida como: 
 
 
pki. 
 
backbone. 
 
tcp/ip. 
 
wi-fi. 
 zona desmilitarizada (DMZ). 
 
 
 
 57a Questão (Ref.: 201202011771) 
Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves 
assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade certificadora confiável. Uma 
mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 
1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 
3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores. 
A mensagem de Ana para Bernardo deve ser assinada 
 
 
e criptografada com a chave pública de Ana. 
 com a chave privada de Ana e criptografada com a chave pública de Bernardo. 
 
e criptografada com a chave privada de Bernardo. 
 
com a chave pública de Ana e criptografada com a chave privada de Bernardo. 
 
com a chave privada de Bernardo e criptografada com a chave pública de Ana. 
 Gabarito Comentado. 
 
 
 
 
 58a Questão (Ref.: 201202060121) 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você 
está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção 
que melhor retrata a estratégia a ser definida: 
 
 
A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e 
seus efeitos. 
 
A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
 
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e 
seus efeitos. 
 
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e 
seus efeitos. 
 A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de 
incidentes e seus efeitos. 
 Gabarito Comentado. 
 
 
 
 
 59a Questão (Ref.: 201202060134) 
Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é 
correto afirmar que? 
 
 
A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas 
chaves 
 
A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a mesma 
chave 
 
A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves 
diferentes 
 
A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes 
 A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave 
 
 
 
 60a Questão (Ref.: 201202011766)O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de: 
 
 
criptografar os dados enviados através do formulário para impedir que os mesmos sejam interceptados 
em curso. 
 
controlar a expiração da sessão do usuário, caso o mesmo possua cookies desabilitados em seu 
navegador. 
 
testar a aptidão visual do usuário para decidir sobre a folha de estilo CSS a ser utilizada nas páginas 
subseqüentes. 
 confirmar que o formulário está sendo preenchido por um usuário humano e não por um computador. 
 
confirmar a identidade do usuário. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
GABARITO 
 
 
1. A 
2. C 
3. C 
4. C 
5. D 
6. A 
7. D 
8. C 
9. E 
10. E 
11. E 
12. A 
13. D 
14. C 
15. A 
16. E 
17. B 
18. C 
19. B 
20. B 
21. C 
22. D 
23. C 
24. A 
25. D 
26. B 
27. E 
28. B 
29. C 
30. E 
31. D 
32. A 
33. B 
34. E 
35. C 
36. A 
37. E 
38. C 
39. D 
40. C 
41. D 
42. A 
43. C 
44. E 
45. D 
46. D 
47. C 
48. C 
49. B 
50. E 
51. B 
52. D 
53. C 
54. A 
55. A 
56. E 
57. B 
58. E 
59. E 
60. D