Baixe o app para aproveitar ainda mais
Prévia do material em texto
EXERCICIOS GESTÃO DE SEGURANÇA DA INFORMAÇÃO 1a Questão (Ref.: 201201982561) Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedade e que permitem a organização deste ativos em grupos com características semelhantes no que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções abaixo define a classificação dos tipos de ativos? Tangível e Intangível. Contábil e Não Contábil. Tangível e Físico. Intangível e Qualitativo. Material e Tangível. 2a Questão (Ref.: 201201982543) O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará está relacionado com qual conceito de? Valor. Risco. Impacto. Vulnerabilidade. Ameaça. 3a Questão (Ref.: 201201979832) A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do tratamento dos Dados para a sua utilização eficaz nas organizações? Dado - Conhecimento Bruto - Informação Bruta Dado - Conhecimento - Informação Dado - Informação - Conhecimento Dado - Informação - Dados Brutos Dado - Informação - Informação Bruta 4a Questão (Ref.: 201201982438) Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? Valor. Impacto. Vulnerabilidade. Risco. Ameaça. 5a Questão (Ref.: 201202165638) No contexto da segurança da informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízos. Neste contexto elas podem ser: 1) Físicas 2) Lógicas 3) Administrativas Analise as questões abaixo e relacione o tipo corretamente: ( ) Procedimento ( ) Fechadura ( ) Firewall ( ) Cadeado ( ) Normas 3, 2, 1, 2, 3 2, 2, 1, 3, 1 1, 3, 1, 3, 2 3, 1, 2, 1, 3 2, 1, 2, 1, 3 6a Questão (Ref.: 201201982403) O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de "Informação"? Por si só não conduz a uma compreensão de determinado fato ou situação; É a matéria-prima para o processo administrativo da tomada de decisão; Possui valor e deve ser protegida; Pode habilitar a empresa a alcançar seus objetivos estratégicos; É dado trabalhado, que permite ao executivo tomar decisões; 7a Questão (Ref.: 201201982596) Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação relacionada à: Autenticidade; Não-Repúdio; Auditoria; Integridade; Confidencialidade; 8a Questão (Ref.: 201201982427) Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de ¿Ativo de Informação¿? São aqueles que produzem, processam, reúnem ou expõem informações. São aqueles que constroem, dão acesso, transmitem ou armazenam informações. São aqueles que produzem, processam, transmitem ou armazenam informações. São aqueles tratam, administram, isolam ou armazenam informações. São aqueles que organizam, processam, publicam ou destroem informações. 9a Questão (Ref.: 201201979840) O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Neste contexto qual das opções abaixo poderá definir melhor o conceito de ¿Dado¿? Elemento identificado em sua forma trabalhada e que por si só conduz a várias compreensões de fatos e situações. Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões de fatos ou situações. Elemento não identificado e que por si só não conduz a uma compreensão de determinado fato ou situação. Elemento identificado em sua forma trabalhada que por si só não conduz a uma compreensão de determinado fato ou situação Elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação. 10a Questão (Ref.: 201201982633) Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao seguinte conceito: "Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas"? Valor de negócio. Valor de propriedade. Valor de troca. Valor de uso. Valor de restrição. 11a Questão (Ref.: 201201982597) Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança? Interna. Pública. Irrestrito. Secreta. Confidencial. 12a Questão (Ref.: 201201982595) O advento da internet e a globalização transformaram completamente o mundo que vivemos e consequentemente estão revolucionando o modo de operação das empresas . A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Por que as organizações devem proteger as suas informações? Pelos seus valores estratégicos e financeiros. Pelos seus valores estratégicos e qualitativos. Pelos seus valores internos e qualitativos. Somente pelos seus valores qualitativos e financeiros. Somente pelo seu valor financeiro . 13a Questão (Ref.: 201202154282) Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. 14a Questão (Ref.: 201202053457) Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o endereço do Bradescocomo sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? Vulnerabilidade Natural Vulnerabilidade Física Vulnerabilidade de Software Vulnerabilidade Mídia Vulnerabilidade de Comunicação 15a Questão (Ref.: 201202149004) As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware: Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 16a Questão (Ref.: 201202053455) As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Mídia Vulnerabilidade Física Vulnerabilidade Comunicação Vulnerabilidade Natural Vulnerabilidade de Software 17a Questão (Ref.: 201202053454) Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Comunicação Vulnerabilidade Software Vulnerabilidade Natural Vulnerabilidade Física Vulnerabilidade Mídias 18a Questão (Ref.: 201202148970) As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física: Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Gabarito Comentado. 19a Questão (Ref.: 201201979359) Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? Secreta e Externa Interna e Externa Interna e Oculta Secreta e Oculta Conhecida e Externa 20a Questão (Ref.: 201202165645) As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua intencionalidade: Natural, presencial e remota Natural, voluntária e involuntária Intencional, proposital e natural Intencional, presencial e remota Voluntária, involuntária e intencional Gabarito Comentado. 21a Questão (Ref.: 201202154285) Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de comércio eletrônico. Wabbit. Trojans. Phishing. Hijackers. Exploits. Gabarito Comentado. 22a Questão (Ref.: 201201979366) Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? Captura de outras senhas usadas em sites de comércio eletrônico; Alteração da página inicial apresentada no browser do usuário; Captura de senhas bancárias e números de cartões de crédito; Alteração ou destruição de arquivos; Monitoramento de URLs acessadas enquanto o usuário navega na Internet 23a Questão (Ref.: 201201979378) O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito é conhecido como: backdoor vírus Keylogger Spyware exploit 24a Questão (Ref.: 201202497149) Na categoria de software malicioso (malware), assinale a alternativa que identifica uma ameaça que consiste no envio de uma mensagem não-solicitada, que procura induzir o destinatário a fornecer dados pessoais ou financeiros, tais como senhas, número do CPF e número da conta-corrente. Phishing Vírus de boot Hoaxes (boatos) Cavalo de troia Keylogger (espião de teclado) 25a Questão (Ref.: 201201979412) Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque? Obtenção de Acesso Exploração das Informações Levantamento das Informações Camuflagem das Evidências Divulgação do Ataque 26a Questão (Ref.: 201201979425) Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das opções abaixo Não representa um destes passos? Exploração das Informações Divulgação do Ataque Levantamento das Informações Camuflagem das Evidências Obtenção de Acesso 27a Questão (Ref.: 201201979427) Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas.Qual das opções abaixo Não representa um destes tipos de ataques? Ataque para Obtenção de Informações Ataque à Aplicação Ataque aos Sistemas Operacionais Ataque de Configuração mal feita Ataques Genéricos 28a Questão (Ref.: 201201979355) Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? Forte Passivo Secreto Ativo Fraco 29a Questão (Ref.: 201201979431) Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP , que foi mascarado pelo atacante. Dumpster Diving ou Trashing Smurf Fraggle Shrink Wrap Code Phishing Scan Gabarito Comentado. 30a Questão (Ref.: 201202149061) Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Manutenção do acesso" nesta receita: Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans. Gabarito Comentado. 31a Questão (Ref.: 201201979448) Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos numéricos para os componentes associados ao risco. Método Numérico. Método Qualitativo Método Classificatório Método Quantitativo Método Exploratório. 32a Questão (Ref.: 201202489511) Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Os riscos residuais são conhecidos antes da comunicação do risco. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 33a Questão (Ref.: 201202149099) Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter": Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. 34a Questão (Ref.: 201202149095) Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar": Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. 35a Questão (Ref.: 201201979440) Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da Informação: Probabilidade de um ativo explorar uma vulnerabilidade. Probabilidade de uma ameaça explorar um incidente. Probabilidade de uma ameaça explorar uma vulnerabilidade Probabilidade de um incidente ocorrer mais vezes. Probabilidade de um ativo explorar uma ameaça. 36a Questão (Ref.: 201201979435) Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de Banco de Dados, pretende instalar dispositivos de autenticação de acesso físico, que será implementado através de dispositivo biométrico. Neste caso que tipo de barreira você está implementando? Dificultar Desencorajar Discriminar Deter Detectar 37a Questão (Ref.: 201202489517) Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 1) Comitê de segurança da informação. 2) Controle. 3) Funções de software e hardware. 4) Deve ser analisado criticamente. 5) Política. ( ) Controle. ( ) Firewall. ( ) estrutura organizacional. ( ) Permissão de acesso a um servidor. ( ) Ampla divulgação das normas de segurança da informação. A combinação correta entre as duas colunas é: 1-2-4-3-5. 5-1-4-3-2. 4-3-5-2-1. 2-3-1-5-4. 4-3-1-2-5. 38a Questão (Ref.: 201202497129) Analise as opções, qual dos controles abaixo é um controle físico para segurança física? Firewall Treinamento dos colaboradores. Iluminação. Procedimentos de resposta a incidentes de segurança física Material das instalações. 39a Questão (Ref.: 201202489539) A respeito da norma ISO/IEC 27002/2005 julgue os itens seguintes: 1. Para se obter uma certificação segundo a norma ISO/IEC 27002/2005 será necessário, entre outros controles, proteger dados pessoais e privacidade das pessoas, Os registros da organização, e, os direitos de propriedade intelectual. 2. São fontes de requisitos de Segurança da Informação, segundo a supracitada norma, a análise de riscos, a legislação pertinente e os princípio organizacionais. 3. Para estar em conformidade com supracitada norma, todos os controles nela previstos devem serimplantados em qualquer tipo de Organização. 4. Segundo a supracitada norma, a delegação de responsabilidades e o treinamento formal dos usuários nos princípios de Segurança da Informação, são considerados requisitos "essenciais" de Segurança da Informação. Assinale a opção correta: As afirmativas 1, 3, 4 estão corretas. Apenas a afirmativa 2 está correta. A afirmativa 4 é verdadeira e a 2 é falsa. Todas as afirmativas são falsas. Apenas as afirmativas 2 e 3 não estão corretas. 40a Questão (Ref.: 201202185990) A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender. Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação. É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. 41a Questão (Ref.: 201201979785) Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção? Procedimentos. Normas. Relatório Estratégico. Diretrizes. Manuais. Gabarito Comentado. 42a Questão (Ref.: 201201979457) Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: Análise/avaliação sistemática dos riscos de segurança da informação Análise/avaliação sistemática dos incidentes de segurança da informação Análise/revisão sistemática dos ativos de segurança da informação Identificação/avaliação sistemática dos eventos de segurança da informação Análise/orientação sistemática dos cenários de segurança da informação 43a Questão (Ref.: 201202067103) Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. 44a Questão (Ref.: 201202186345) A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI. Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. 45a Questão (Ref.: 201202155356) Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: A política do BIA. A abordagem de análise/avaliação das vulnerabilidades da organização. Identificar e avaliar as opções para o tratamento das vulnerabilidades. Identificar, Analisar e avaliar os riscos. A politica de gestão de continuidade de negócio. 46a Questão (Ref.: 201202165663) Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. 47a Questão (Ref.: 201202067106) A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Correção Corrigidas e Preventivas Corretivas e Preventivas Corretivas e Corrigidas Prevenção e Preventivas 48a Questão (Ref.: 201202067109) Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrõese melhores práticas de segurança reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. 49a Questão (Ref.: 201202060109) Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos. 50a Questão (Ref.: 201202165668) Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade ? Análise de vulnerabilidade Análise de risco Auditoria interna Classificação da informação Análise de impacto dos negócios (BIA) Gabarito Comentado. 51a Questão (Ref.: 201202155382) BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios. Clara e Intelegível Qualitativa e Quantitativa Simples e Objetiva. Estatística e Ordenada Natural e Desordenada 52a Questão (Ref.: 201202060116) Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ? Planejamento, estudo e implementação do programa Planejamento, maturação e desenvolvimento Manutenção, implementação do programa e maturação Planejamento, desenvolvimento e implementação do programa Manutenção, desenvolvimento e implementação do programa 53a Questão (Ref.: 201202060105) Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada? Controlar o incidente Confirmar a natureza e extensão do incidente Afastar o incidente do cliente Tomar controle da situação Comunicar-se com as partes interessadas 54a Questão (Ref.: 201202060115) Na implantação da Gestão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que: As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas As metas e objetivos definidos sejam comprometidos por interrupções inesperadas As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas 55a Questão (Ref.: 201202060117) Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? na Zona Desmilitarizada (DMZ) protegida ligado diretamente no roteador de borda em uma subrede interna protegida por um proxy na rede interna da organização na Zona Desmilitarizada (DMZ) suja 56a Questão (Ref.: 201202014617) A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo (inseguro), é conhecida como: pki. backbone. tcp/ip. wi-fi. zona desmilitarizada (DMZ). 57a Questão (Ref.: 201202011771) Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade certificadora confiável. Uma mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores. A mensagem de Ana para Bernardo deve ser assinada e criptografada com a chave pública de Ana. com a chave privada de Ana e criptografada com a chave pública de Bernardo. e criptografada com a chave privada de Bernardo. com a chave pública de Ana e criptografada com a chave privada de Bernardo. com a chave privada de Bernardo e criptografada com a chave pública de Ana. Gabarito Comentado. 58a Questão (Ref.: 201202060121) Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos. A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. Gabarito Comentado. 59a Questão (Ref.: 201202060134) Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é correto afirmar que? A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas chaves A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a mesma chave A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave 60a Questão (Ref.: 201202011766)O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de: criptografar os dados enviados através do formulário para impedir que os mesmos sejam interceptados em curso. controlar a expiração da sessão do usuário, caso o mesmo possua cookies desabilitados em seu navegador. testar a aptidão visual do usuário para decidir sobre a folha de estilo CSS a ser utilizada nas páginas subseqüentes. confirmar que o formulário está sendo preenchido por um usuário humano e não por um computador. confirmar a identidade do usuário. GABARITO 1. A 2. C 3. C 4. C 5. D 6. A 7. D 8. C 9. E 10. E 11. E 12. A 13. D 14. C 15. A 16. E 17. B 18. C 19. B 20. B 21. C 22. D 23. C 24. A 25. D 26. B 27. E 28. B 29. C 30. E 31. D 32. A 33. B 34. E 35. C 36. A 37. E 38. C 39. D 40. C 41. D 42. A 43. C 44. E 45. D 46. D 47. C 48. C 49. B 50. E 51. B 52. D 53. C 54. A 55. A 56. E 57. B 58. E 59. E 60. D
Compartilhar