Banco de Questões - Gestão de Segurança da Informação

Prévia do material em texto

GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Banco de Questões 
1) A análise de vulnerabilidade permite que os profissionais de segurança e TI da empresa possam ter maior 
conhecimento do ambiente de TI e seus problemas. Qual das opções abaixo não é um exemplo de teste de 
vulnerabilidade lógica em maquinas de uma rede alvo? 
 Aplicativos instalados. 
 Ruídos elétricos na placa wireless. 
 Os Sistemas operacionais utilizados. 
 Patches e service packs aplicados. 
 Verificar as portas do protocolo TCP/IP que se encontram desprotegidas (abertas). 
2) A empresa ABC está desenvolvendo uma política de segurança da Informação e uma de suas maiores 
preocupações é com as informações críticas e sigilosas da empresa. Como estas informações impressas em 
papel serão descartadas. Qual o tipo de ataque está preocupando a empresa ABC? 
 Smurf 
 Dumpster diving ou trashing 
 SYN Flooding 
 Phishing Scam 
 Fraggle 
3) A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de 
informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi 
utilizado um ataque de: 
 Buffer Overflow 
 Fragmentação de Pacotes IP 
 Fraggle 
 SQL Injection 
 Smurf 
4) A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar lucros ou 
ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das opções 
abaixo apresenta os quatro aspectos importantes para a classificação das informações? 
 Confiabilidade, integridade, risco e valor. 
 Confiabilidade, integridade, vulnerabilidade e valor. 
 Confidencialidade, integridade, disponibilidade e valor. 
 Confidencialidade, integridade, disponibilidade e vulnerabilidade. 
 Confidencialidade, vulnerabilidade, disponibilidade e valor. 
5) A NBR ISO/IEC 27002 orienta que a organização assegurar que funcionários, fornecedores e terceiros entendam 
suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, 
fraude ou mau uso dos recursos. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação 
de Segurança: 
 Gerenciamento das Operações e Comunicações. 
 Segurança em Recursos Humanos. 
 Segurança Física e do Ambiente. 
 Segurança dos Ativos. 
 Controle de Acesso. 
6) A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do 
negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a 
sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de 
Segurança? 
 Controle de Acesso 
 Segurança Física e do Ambiente. 
 Gestão de Incidentes de Segurança da Informação 
 Gestão da Continuidade do Negócio 
 Gerenciamento das Operações e Comunicações 
7) A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua 
pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções 
abaixo Não poderá ser considerada como um elemento para a realização desta análise: 
 Os resultados das auditorias anteriores e análises críticas; 
 A avaliação das ações preventivas e corretivas; 
 A avaliação dos riscos e incidentes desejados; 
 Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores; 
 A realimentação por parte dos envolvidos no SGSI. 
8) A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos 
eventos monitorados e através de ações: 
 Prevenção e Preventivas. 
 Corretivas e Preventivas. 
 Corrigidas e Preventivas. 
 Corretivas e Corrigidas. 
 Corretivas e Correção. 
9) A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo 
(inseguro), é conhecida como: 
 zona desmilitarizada (DMZ). 
 tcp/ip. 
 backbone. 
 wi-fi. 
 pki. 
10) A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus 
respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a 
disponibilidade, qual das definições abaixo expressa melhor este princípio: 
 Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira 
não autorizada e aprovada. 
 Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou 
ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados. 
 Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou 
processos. 
 Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para 
um usuário, entidade, sistema ou processo autorizado e aprovado. 
 Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, sistemas ou 
processos autorizados e aprovados, não deveriam ser passíveis de cancelamento posterior. 
11) A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a 
que tipo de proteção? 
 Recuperação . 
 Reação. 
 Preventiva. 
 Limitação. 
 Correção. 
12) A utilização de diferentes técnicas e softwares,como por exemplo, a utilização de port scan, scanner de 
vulnerabilidade e network mapping pode estar associada a qual dos Passos abaixo realizados por um Atacante? 
 Exploração das Informações 
 Obtenção de Acesso. 
 Manutenção do Acesso 
 Camuflagem das Evidências 
 Levantamento das Informações 
13) Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua 
origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças? 
 Secreta e Oculta 
 Conhecida e Externa 
 Secreta e Externa 
 Interna e Externa 
 Interna e Oculta 
14) Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves 
assimétricas, sendo uma delas pública e a outra privada, emitidas por autoridade certificadora confiável. Uma 
mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 
1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana 
3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores. 
A mensagem de Ana para Bernardo deve ser assinada 
 com a chave privada de Bernardo e criptografada com a chave pública de Ana. 
 e criptografada com a chave pública de Ana. 
 com a chave pública de Ana e criptografada com a chave privada de Bernardo. 
 e criptografada com a chave privada de Bernardo. 
 com a chave privada de Ana e criptografada com a chave pública de Bernardo. 
15) Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade 
quanto pela de disponibilidade¿. Esta afirmação é: 
 falsa, pois não existe alteração de nível de segurança de informação. 
 verdadeira desde que seja considerada que todas as informações são publicas. 
 falsa, pois a informação não deve ser avaliada pela sua disponibilidade. 
 verdadeira se considerarmos que o nível não deve ser mudado. 
 verdadeira, pois a classificação da informação pode ser sempre reavaliada. 
16) Analise a frase abaixo:¿Capacidade de uma organização de resistir aos efeitos de um incidente.¿ Assinale qual 
das opções representa o conceito correto da frase acima: 
 Restauração 
 Rescaldo 
 Resiliência 
 Recuperação 
 Resistência 
17) Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para isso 
implementou um programa que que irá coletar informações pessoais e financeiros da vítima. Para obter sucesso 
no ataque, Antônio irá induzir o acesso a página fraudulenta através do envio de uma mensagem não solicitada. 
Neste caso estávamos nos referindo ao ataque do tipo: 
 Source Routing 
 SQL Injection 
 Shrink wrap code 
 DDos 
 Phishing Scan 
18) Ao analisarmos a afirmativa: “Devemos levar em consideração que diferentes ameaças possuem impactos 
diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma 
ameaça”. Podemos dizer que é: 
 verdadeira. 
 falsa, pois não depende do ativo afetado. 
 parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. 
 falsa, pois os impactos são sempre iguais para ameaças diferentes. 
 falsa, pois não devemos considerar que diferentes ameaças existem. 
19) Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de 
dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não 
autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os 
arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque? 
 Levantamento das Informações 
 Obtenção de Acesso 
 Camuflagem das Evidências 
 Divulgação do Ataque 
 Exploração das Informações 
20) As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos 
por meio da exploração de vulnerabilidades. As ameaças inconscientes, quase sempre causadas pelo 
desconhecimento poderão ser classificadas como: 
 Inconsequentes. 
 Voluntárias. 
 Involuntárias. 
 Ocasionais. 
 Naturais. 
21) As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos 
por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das 
ameaças quanto a sua intencionalidade? 
 Ocasionais, Involuntárias e Obrigatórias. 
 Naturais, Involuntárias e Voluntarias. 
 Naturais, Involuntárias e Obrigatórias. 
 Naturais, Voluntarias e Vulneráveis. 
 Naturais, Voluntarias e Obrigatórias. 
22) As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim 
foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na 
China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a 
acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas 
pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas 
desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? 
 Vulnerabilidade Mídia 
 Vulnerabilidade de Software 
 Vulnerabilidade Natural 
 Vulnerabilidade Comunicação 
 Vulnerabilidade Física 
23) As proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo e podemos 
classificá-las de acordo com a sua ação e o momento em que ocorre. Qual das opções abaixo não corresponde à 
classificação das proteções de acordo com a sua ação e o momento na qual ela ocorre: 
 Ameaça. 
 Risco. 
 Impacto. 
 Vulnerabilidade. 
 Preventivas. 
24) As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de 
uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos 
de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de 
Vulnerabilidade na ótica da Segurança da Informação? 
 Impacto presente ou associada a ativos que manipulam ou processam informações. 
 Fragilidade presente ou associada a ameaças que manipulam ou processam informações . 
 Fragilidade presente ou associada a ativos que manipulam ou processam informações . 
 Ameaça presente ou associada a ativos que manipulam ou processam informações. 
 Fragilidade presente ou associada a ativos que exploram ou processam informações . 
25) As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar 
privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de 
cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a 
Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Software: 
 Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. 
 Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda 
de dados ou indisponibilidade de recursos quando necessários. 
 Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 
 Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). 
 Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. 
26) Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, 
antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de 
natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para 
varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi 
utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não 
comprometendo aos dados internos e críticos que não devem ser divulgados. Qual você acha que foi a 
vulnerabilidade para este ataque? 
 Vulnerabilidade Mídias 
 Vulnerabilidade Software 
 Vulnerabilidade Física 
 Vulnerabilidade Natural 
 Vulnerabilidade Comunicação 
27) Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os 
hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam 
os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o 
endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os 
dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? 
 Vulnerabilidade Mídia 
 Vulnerabilidade Física 
 Vulnerabilidade Natural 
 Vulnerabilidade de Comunicação 
 Vulnerabilidade de Software 
28) Baseado no conceito de que as proteções são medidas que visam livrar os ativos de situações que possam 
trazer prejuízo e que podemos classificá-las de acordo com a sua ação e o momento em que ocorre. Qual das 
opções abaixo não corresponde à classificação das proteções de acordo com a sua ação e o momento na qual 
ela ocorre: 
 Preventivas. 
 Destrutivas. 
 Detecção. 
 Correção. 
 Desencorajamento. 
29) Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a 
organização certificada: 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais 
das empresas de TI. 
 implementou um sistema para gerência da segurança da informação de acordo comos desejos de 
segurança dos funcionários e padrões comerciais. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores 
práticas de segurança reconhecidas no mercado. 
 implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos 
de segurança dos Gerentes de TI. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
30) Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como 
a tecnologia da informação tem apoiado as operações das empresas, qual das opções abaixo não é verdadeira 
quando tratamos do conceito de ¿Informação¿ ? 
 É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. 
 É fundamental proteger o conhecimento gerado. 
 Deve ser disponibilizada sempre que solicitada. 
 A informação é vital para o processo de tomada de decisão de qualquer corporação. 
 Pode conter aspectos estratégicos para a Organização que o gerou. 
31) Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos 
dizer que: 
 A afirmativa é falsa. 
 A afirmativa é verdadeira somente para vulnerabilidades lógicas. 
 A afirmativa é verdadeira somente para ameaças identificadas. 
 A afirmativa é verdadeira somente para vulnerabilidades físicas. 
 A afirmativa é verdadeira. 
32) Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da 
informação. 
 Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
 A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 
 Os riscos residuais são conhecidos antes da comunicação do risco. 
 Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a 
aceitação do plano de tratamento do risco pelos gestores da organização. 
33) Como não existe uma única causa para o surgimento das vulnerabilidades, diferentes tipos de vulnerabilidade 
podem estar presente em diversos ambientes computacionais. Qual das opções abaixo "NÃO" representa um 
exemplo de tipo de vulnerabilidade? 
 Administrativa 
 Comunicação 
 Humana 
 Física 
 Natural 
34) Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Neste 
contexto qual das opções abaixo indica o tipo de “valor da informação” que pode ser atribuído ao seguinte 
conceito: ”É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda)”. 
 Valor de restrição. 
 Valor de troca. 
 Valor de utilidade. 
 Valor de propriedade. 
 Valor de uso. 
35) Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Qual das 
opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para 
as organizações quando tratamos de Segurança da Informação? 
 Valor de propriedade. 
 Valor de restrição. 
 Valor de uso. 
 Valor de troca. 
 Valor de orçamento. 
36) Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor está 
associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for 
alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Segundo os conceitos 
da Segurança da Informação, onde devemos proteger as informações? 
 Nas Ameaças. 
 Nas Vulnerabilidades. 
 Nos Ativos. 
 Nas Vulnerabilidades e Ameaças. 
 Nos Riscos. 
37) Considere que uma organização deseje verificar a existência de falhas de segurança em seu ambiente de TI, 
através de um levantamento detalhado deste ambiente para que possa implementar controles eficientes sobre 
seus ativos. Para isso, selecione qual das opções abaixo aponta a melhor ferramenta que esta organização 
deverá utiliza para esta verificação: 
 Análise de Informação. 
 Análise de Vulnerabilidade. 
 Análise de Usuários. 
 Análise de Confiabilidade. 
 Análise de Impacto. 
38) Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de 
usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um 
determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma 
informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na 
segurança da informação para este sistema na propriedade relacionada à: 
 Privacidade; 
 Integridade; 
 Confidencialidade; 
 Disponibilidade; 
 Não-repúdio; 
39) Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de 
usuários denominados ¿auditores¿. Um usuário de um outro grupo, o grupo ¿estudante¿, tenta acessar o 
sistema em busca de uma informação que somente o grupo ¿auditores¿ tem acesso e consegue. Neste caso 
houve uma falha na segurança da informação para este sistema na propriedade relacionada à: 
 Não-Repúdio; 
 Confidencialidade; 
 Auditoria; 
 Disponibilidade; 
 Integridade; 
40) De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID 
difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e 
de segurança¿, podemos dizer que: 
 A afirmação é falsa. 
 A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
 A afirmação é somente falsa para as empresas privadas. 
 A afirmação é somente verdadeira para as empresas privadas. 
 A afirmação é verdadeira. 
41) Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de 
diversas propriedades e que permitem a organização destes ativos em grupos com características semelhantes 
no que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções abaixo define a 
classificação dos tipos de ativos? 
 Contábil e Não Contábil. 
 Material e Tangível. 
 Tangível e Intangível. 
 Intangível e Qualitativo. 
 Tangível e Físico. 
42) Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de 
diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da 
Informação: 
 Tudo aquilo que tem valor para a organização. 
 Tudo aquilo que não manipula dados. 
 Tudo aquilo que a empresa usa como inventario contábil. 
 Tudo aquilo que não possui valor específico. 
 Tudo aquilo que é utilizado no Balanço Patrimonial. 
43) Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser 
classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar a 
conexão ou não a um serviço em uma rede modo indireto ? 
 Filtro com Pacotes 
 Firewall de Borda 
 Firewall Indireto 
 Firewall com Estado 
 Firewall Proxy 
44) Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções 
abaixo Não representa um destes tipos de ataques? 
 Ataque à Aplicação 
 Ataque aos Sistemas Operacionais 
 Ataques Genéricos 
 Ataque de Configuração mal feita 
 Ataque para Obtenção de Informações 
45) João configurou nas máquinas servidoras da empresa que trabalha o serviço de Log de forma a registrar as 
operações realizadas pelos usuários se serviços do sistema. Neste caso, João estáimplementando uma 
propriedade de segurança relacionada à(o): 
 Integridade; 
 Auditoria; 
 Não-Repúdio; 
 Confidencialidade; 
 Disponibilidade; 
46) João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede 
através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da 
empresa. Qual o tipo de ataque que o invasor está tentando utilizar? 
 Fragmentação de pacotes IP 
 Port Scanning 
 SYN Flooding 
 Fraggle 
 Ip Spoofing 
47) João e Pedro são administradores de sistemas de uma importante empresa e estão instalando uma nova versão 
do sistema operacional Windows para máquinas servidoras. Durante a instalação Pedro percebeu que existem 
uma série de exemplos de códigos já prontos para serem executados, facilitando assim o trabalho de 
administração do sistema. Qual o tipo de ataque que pode acontecer nesta situação? 
 Phishing Scan 
 Dumpster Diving ou Trashing 
 Fraggle 
 Smurf 
 Shrink Wrap Code 
48) Na gestão de risco, o registro da debilidade no sistema atual de proteção em relação a todas as ameaças em 
potencial, é realizado durante a atividade: 
 análise de perdas. 
 análise de custo-benefício. 
 análise de proteção. 
 avaliação dos ativos. 
 vulnerabilidade dos ativos. 
49) Na implantação da Gestão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da 
organização para garantir que: 
 As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas 
 As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas 
 As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas 
 As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas 
 As metas e objetivos definidos sejam comprometidos por interrupções inesperadas 
50) Na vulnerabilidade dos sistemas, o cavalo de troia e os applets mal intencionados são exemplos de métodos de 
ataque do tipo: 
 adulteração de dados. 
 falhas humanas. 
 fraude de programação. 
 falhas do sistema computacional. 
 ameaças não intencionais. 
51) Não se pode dizer que há segurança da informação, a menos que ela seja controlada e gerenciada. A segurança 
da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de 
Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da 
informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto 
mantém em perspectiva os objetivos do negócio e as expectativas do cliente. Para estabelecer o SGSI- 
SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: 
 Identificar e avaliar as opções para o tratamento das vulnerabilidades. 
 A abordagem de análise/avaliação das vulnerabilidades da organização. 
 A politica de gestão de continuidade de negócio. 
 Identificar, Analisar e avaliar os riscos. 
 A política do BIA. 
52) Nas estratégias contingência implementadas pelas empresas, qual das opções abaixo NÃO é considerada uma 
estratégias de contingência? 
 Realocação de Operação 
 Hot Site 
 Cold Site 
 Warm Site 
 Small Site 
53) No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a justificativa de defender 
a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal, 
Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado 
hospedagem, bloqueado recursos financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo 
vazamento de mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a 
vulnerabilidade neste ataque? 
 Vulnerabilidade Física 
 Vulnerabilidade Mídia 
 Vulnerabilidade de Comunicação 
 Vulnerabilidade de Software 
 Vulnerabilidade Natural 
54) No contexto da Segurança da Informação, a medida que indica a probabilidade de uma determinada ameaça se 
concretizar, combinada com os impactos que ela trará está relacionada com qual conceito de? 
 Impacto. 
 Risco. 
 Ameaça. 
 Vulnerabilidade. 
 Valor. 
55) O advento da internet e a globalização transformaram completamente o mundo que vivemos e 
consequentemente estão revolucionando o modo de operação das empresas. A demanda gradual por 
armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. 
Por que as organizações devem proteger as suas informações? 
 Somente pelo seu valor financeiro. 
 Pelos seus valores internos e qualitativos. 
 Pelos seus valores estratégicos e qualitativos. 
 Somente pelos seus valores qualitativos e financeiros. 
 Pelos seus valores estratégicos e financeiros. 
56) O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de 
operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia 
as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode 
ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas? 
 Apoio aos Processos 
 Apoio ao uso da Internet e do ambiente wireless 
 Apoio às Operações 
 Apoio à tomada de decisão empresarial 
 Apoio às Estratégias para vantagem competitiva 
57) O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos 
diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual conceito? 
 Risco. 
 Vulnerabilidade. 
 Ameaça. 
 Valor. 
 Impacto. 
58) O Exploit é um termo muito utilizado em segurança da informação. Qual das opções abaixo descreve o que 
conceito de um Exploit? 
 Um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das 
vulnerabilidades de um sistema computacional. 
 Um programa de computador, uma porção de dados ou uma sequência de comandos para reduzir as 
ameaças de um sistema computacional. 
 Um programa de computador, uma porção de dados ou uma sequência de comandos que implementa 
vulnerabilidades em um sistema computacional. 
 Um programa de computador, uma porção de dados ou uma sequência de comandos que deve ser 
amplamente utilizado em um sistema computacional. 
 Um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das 
ameaças de um sistema computacional. 
59) O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não 
pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? 
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; 
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; 
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; 
 Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; 
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; 
60) O que ocorre quando uma ameaça explora uma ou mais vulnerabilidades de um ativo segundo os conceitos da 
Segurança da Informação? 
 Uma falha na ameaça do ativo. 
 Um acidente de Segurança da Informação. 
 Uma tentativa de Segurança. 
 Um Incidente de Segurança. 
 Um tratamento de vulnerabilidades. 
61) O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma 
determinada ameaçacausará está relacionado com qual conceito de? 
 Valor. 
 Risco. 
 Impacto. 
 Vulnerabilidade. 
 Ameaça 
62) O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos 
anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração 
desses dados de forma confiável. Neste contexto qual das opções abaixo poderá definir melhor o conceito de 
“Dado”? 
 Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões de fatos ou 
situações. 
 Elemento identificado em sua forma trabalhada e que por si só conduz a várias compreensões de fatos e 
situações. 
 Elemento não identificado e que por si só não conduz a uma compreensão de determinado fato ou situação. 
 Elemento identificado em sua forma trabalhada que por si só não conduz a uma compreensão de 
determinado fato ou situação. 
 Elemento identificado em sua forma bruta e que porsi só não conduz a uma compreensão de determinado 
fato ou situação. 
63) Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual 
das opções abaixo não está em conformidade com as orientações da norma citada? 
 Confirmar a natureza e extensão do incidente 
 Comunicar-se com as partes interessadas 
 Controlar o incidente 
 Afastar o incidente do cliente 
 Tomar controle da situação 
64) Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é correto 
afirmar que? 
 A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes 
 A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave 
 A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a mesma chave 
 A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas chaves 
 A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes 
65) Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As 
consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios 
para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, 
alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de 
ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias: 
 Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser ocasionados por 
falha no treinamento, acidentes, erros ou omissões. 
 Erros propositais de instalação ou de configuração possibilitando acessos indevidos. 
 Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc. 
 Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas 
comunicações. 
 Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc. 
66) Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta? 
 Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. 
 Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Disponibilidade das Informações. 
 Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Probabilidade 
das Informações. 
 Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. 
 Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a Disponibilidade 
das Informações. 
67) Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das 
opções abaixo Não representa um destes passos? 
 Exploração das Informações 
 Levantamento das Informações 
 Camuflagem das Evidências 
 Divulgação do Ataque 
 Obtenção de Acesso 
68) Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi 
projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser 
melhor descrito como sendo um: 
 cavalo de tróia (trojan horse) 
 exploit 
 active-x 
 worm 
 vírus 
69) Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as 
organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o 
perfeito dimensionamento das demais fases de elaboração do plano de continuidade? 
 Análise de impacto dos negócios (BIA) 
 Análise de risco 
 Classificação da informação 
 Auditoria interna 
 Análise de vulnerabilidade 
70) Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? 
 Monitoramento de URLs acessadas enquanto o usuário navega na Internet 
 Captura de senhas bancárias e números de cartões de crédito; 
 Alteração ou destruição de arquivos; 
 Captura de outras senhas usadas em sites de comércio eletrônico; 
 Alteração da página inicial apresentada no browser do usuário; 
71) Qual das opções abaixo apresenta a Norma que orienta as organizações na estruturação e implementação da 
continuidade de negócio? 
 NBR ISO/IEC 16199:1 
 NBR ISO/IEC 16999:1 
 NBR ISO/IEC 15999:1 
 NBR ISO/IEC 15991:1 
 NBR ISO/IEC 15199:1 
72) Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000? 
 ISO/IEC 27001 
 ISO/IEC 27003 
 ISO/IEC 27005 
 ISO/IEC 27002 
 ISO/IEC 27004 
73) Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são 
detalhadas no plano operacional, as configurações de um determinado produto ou funcionalidade que devem ser 
feitas para implementar os controles e tecnologias estabelecidas pela norma. 
 Diretrizes. 
 Normas. 
 Manuais. 
 Procedimentos. 
 Relatório Estratégico. 
74) Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são 
especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para 
alcançar a estratégia definida nas diretrizes? 
 Diretrizes. 
 Manuais. 
 Procedimentos. 
 Normas. 
 Relatório Estratégico. 
75) Qual das opções abaixo completa a sentença: ¿Quanto maior a probabilidade de uma determinada ameaça 
ocorrer e o impacto que ela trará, maior será _________.¿ 
 A Vulnerabilidade do Ativo. 
 A Vulnerabilidade do Risco. 
 O valor do Impacto. 
 O risco associado a este incidente. 
 O risco associado a ameaça. 
76) Qual das opções abaixo consiste em enviar para um programa que espera por uma entrada de dados qualquer 
informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados? 
 SQL Injection 
 Buffer Overflow 
 Fragmentação de Pacotes IP 
 Smurf 
 Fraggle 
77) Qual das opções abaixo descreve melhor conceito de “Ameaça” quando relacionado com a Segurança da 
Informação: 
 Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos 
 Tudo aquilo que tem origem para causar algum tipo de erro nos ativos 
 Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. 
 Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos 
 Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos 
78) Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da 
Informação: 
Probabilidade de uma ameaça explorar um incidente. 
 Probabilidade de um ativo explorar uma ameaça. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade 
 Probabilidade de um ativo explorar uma vulnerabilidade. 
 Probabilidade de um incidente ocorrer mais vezes. 
79) Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço 
específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em 
cada computador? 
 Ataque de Configuração mal feita. 
 Ataque para Obtenção de Informações. 
 Ataque á Aplicação. 
 Ataque aos Sistemas Operacionais. 
 Ataques de códigos pré-fabricados. 
80) Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas 
servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao 
invés da invasão? 
 DDos 
 Phishing Scan 
 Source Routing 
 Shrink wrap code 
 SQL Injection 
81) Qual das opções abaixo não apresenta uma das quatro categorias conhecidas de Ataques? 
 Aceitação de Serviço 
 Disfarce 
 Modificação de mensagem 
 Negação de Serviço 
 Repetição 
82) Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no 
estudo e implementação de um processo de gestão de segurança em uma organização? 
 Insegurança. 
 Impacto. 
 Vulnerabilidade. 
 Ameaça. 
 Risco. 
83) Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus 
componentes? 
 Redes Não Confiáveis - Não possuem políticas de segurança. 
 Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de proteção 
 Redes Não Confiáveis - Não é possível informar se necessitam de proteção. 
 Redes Não Confiáveis - Não possuem controle da administração. 
 Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou não confiável. 
84) Qual das opções abaixo não representa uma das etapas da Gestão de Risco: 
 Identificar e avaliar os riscos. 
 Selecionar, implementar e operar controles para tratar os riscos. 
 Manter e melhorar os controles 
 Verificar e analisar criticamente os riscos. 
 Manter e melhorar os riscos identificados nos ativos 
85) Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são 
utilizados termos com menções mais subjetivas, tais como alto, médio e baixo: 
 Método Exploratório 
 Método Subjetivo. 
 Método Classificatório. 
 Método Quantitativo 
 Método Qualitativo 
86) Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são 
utilizados termos numéricos para os componentes associados ao risco. 
 Método Classificatório. 
 Método Exploratório. 
 Método Qualitativo. 
 Método Numérico. 
 Método Quantitativo. 
87) Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código malicioso ou Malware? 
 worm 
 trojan horse 
 active-x 
 keyloggers 
 rootkit 
88) Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da 
rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e a 
internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados. 
 Spyware. 
 Antivírus. 
 Adware. 
 Mailing. 
 Firewall. 
89) Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são 
realizados para um ataque de segurança? 
 O atacante tenta manter seu próprio domínio sobre o sistema 
 O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema. 
 O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação". 
 O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento 
 O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência. 
90) Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? 
 Fraco 
 Ativo 
 Passivo 
 Forte 
 Secreto 
91) Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? 
 Passivo 
 Ativo 
 Fraco 
 Secreto 
 Forte 
92) Quando uma informação é classificada como aquela que é interna, restrita a um grupo seleto dentro da 
organização. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro, sendo 
vital para a companhia podemos então afirmar que ela possui qual nível de segurança? 
 Secreta. 
 Interna. 
 Pública. 
 Proibida. 
 Confidencial. 
93) Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas 
de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas 
e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente 
dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de 
definir a fase de "Levantamento das informações" nesta receita: 
 Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as 
vulnerabilidades encontradas no sistema. 
 Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de 
outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou 
trojans. 
 Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o 
objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos 
computacionais. 
 Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. 
 É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o 
¿alvo em avaliação¿ antes do lançamento do ataque. 
94) Se um invasor mal intencionado desejasse utilizar de uma ferramenta para mapear potenciais vulnerabilidades 
em computadores, assegurar o acesso futuro a estes computadores e remover as evidências de suas ações, qual 
ferramenta (malware) ele utilizaria como sendo a mais eficaz dentre as apresentadas nas opções abaixo? 
 Bot 
 Rootkit 
 Spyware 
 Worm 
 Adware 
95) Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. 
Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta 
um conjunto típico destes documentos? 
 Manuais; Normas e Procedimentos 
 Diretrizes; Manuais e Procedimentos 
 Diretrizes; Normas e Procedimentos 
 Manuais; Normas e Relatórios 
 Diretrizes; Normas e Relatórios 
96) Segundo a RFC 2828 os ataques podem ser definidos como “um ataque à segurança do sistema, derivado de 
uma ameaça inteligente, ou seja, um ato inteligente que é uma tentativa deliberada de burlar os serviços de 
segurança e violar a política de segurança de um sistema”. Os ataques ser classificados como: 
 Forte e Fraco 
 Passivo e Ativo 
 Secreto e Vulnerável 
 Passivo e Vulnerável 
 Secreto e Ativo 
97) Segundo os conceitos da Segurança da Informação podemos classificar as medidas de proteção de acordo com 
a sua ação e o momento em que ocorre. Baseado nesta premissa, podemos afirmar que a medida de proteção 
classificada como “Limitação” possui a finalidade de: 
 Reparar falhas existentes. 
 Diminuir danos causados. 
 Reagira Determinados incidentes. 
 Evitar que acidentes ocorram. 
 Desencorajar a prática de ações. 
98) Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de 
situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção 
possíveis de serem aplicadas às organizações? 
 Administrativa, Física e Lógica. 
 Administrativa, Contábil e Física. 
 Lógica, Administrativa e Contábil. 
 Lógica, Física e Programada. 
 Administrativa, Física e Programada. 
99) Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de 
¿Ativo de Informação¿? 
 São aqueles que constroem, dão acesso, transmitem ou armazenam informações. 
 São aqueles que produzem, processam, transmitem ou armazenam informações. 
 São aqueles que organizam, processam, publicam ou destroem informações. 
 São aqueles que produzem, processam, reúnem ou expõem informações. 
 São aqueles tratam, administram, isolam ou armazenam informações 
100) Suponha que um hacker esteja planejando um ataque a uma empresa. Qual o tipo de ataque ele irá utilizar 
para realizar o levantamento das informações em relação à empresa ou rede a ser atacada? 
 O ataque do tipo ativo, pois tem como objetivo de bisbilhotar ou monitora transmissões. 
 O ataque do tipo passivo, pois tem como objetivo de bisbilhotar ou monitora transmissões. 
 Ataque do tipo passivo, pois tem como objetivo modificar o fluxo de dados ou a criar um fluxo falso. 
 O ataque do tipo ativo, pois tem como objetivo modificar o fluxo de dados ou a criar um fluxo falso. 
 O ataque do tipo direto, pois além de monitorar as transmissões ainda modifica o fluxo das informações. 
101) Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma 
como a tecnologia da informação apoia as operações e processos das empresas, qual das opções abaixo poderá 
ser escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo? 
 O uso da internet para sites de relacionamento; 
 O crescimento explosivo dos cursos relacionados com a tecnologia da informação; 
 O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; 
 O Aumento no consumo de softwares licenciados; 
 O crescimento explosivo da venda de computadores e sistemas livres; 
102) Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que 
cada informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos sem 
causar danos à organização, podemos afirmar que ela possui qual nível de segurança? 
 Secreta. 
 Interna. 
 As opções (a) e (c) estão corretas. 
 Confidencial. 
 Irrestrito. 
103) Um Firewall pode ser definido como uma coleção de componentes, colocada entre duas redes, que 
coletivamente possua propriedades que: 
 garantem que todo o tráfego de dentro para fora da rede, e vice-versa, passe por ele. Somente o tráfego 
autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de 
violação. 
 garantem que todo o tráfego de dentro para fora da rede e vice-versa deve ser bloqueado, 
independentemente da política de segurança adotada. Todo firewall deve ser à prova de violação. 
 independentemente da política de segurança adotada, tem como objetivo principal impedir a entrada de vírus 
em um computador, via arquivos anexados a e-mails. 
 garantem que apenas o tráfego de dentro para fora da rede deve passar por ele. Somente o tráfego 
autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de 
violação. 
 garantem que apenas o tráfego de fora para dentro da rede deve passar por ele. Somente o tráfego 
autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de 
violação. 
104) Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um 
ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de 
dados de cadastro do cliente. Neste caso, foi utilizado um ataque de: 
 Fragmentação de Pacotes IP 
 SQL Injection 
 Fraggle 
 Smurf 
 Buffer Overflow 
105) Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira 
corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma 
combinação de ambas. Neste sentido podemos definir a barreira "Detectar": 
 Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os 
gestores da segurança na detecção de situações de risco. 
 Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, 
definindo perfis e autorizando permissões. 
 Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da 
informação. 
 Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. 
 Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. 
106) Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será 
necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu 
objetivo o invasor tentará levantar estas informações através da escuta das portas do protocolo TCP e UDP. 
Neste caso estamos nos referindo a um ataque do tipo: 
 Three-way-handshake 
 Fragmentação de Pacotes IP 
 Fraggle 
 Port Scanning 
 SYN Flooding 
107) Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, 
isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador 
pode ser descrito como sendo um: 
 keylogger 
 backdoor 
 exploit 
 spyware 
 vírus 
108) Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, 
seja através de algum outro programa instalado em um computador pode ser descrito como sendo um: 
 Adware 
 Active-x 
 Worm 
 Spyware 
 Java Script 
109) Você está trabalhando em um projeto de classificação de informação e sua empresa trabalha no ramo 
financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua 
empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você 
classificaria estas informações em qual nível de segurança? 
 Confidencial. 
 Pública. 
 Interna. 
 Irrestrito. 
 Secreta. 
110) Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. 
Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as 
ações que você deve realizar: 
 Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e serviços 
desnecessários para a organização. 
 Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços 
fundamentais para a organização. 
 Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e serviços 
desnecessários para a organização. 
 Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de produtos 
e serviços fundamentais para a organização. 
 Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e serviços 
fundamentais para a organização. 
111) Você estátrabalhando em um projeto de implantação da continuidade de negócios em sua organização. 
Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a 
opção que melhor retrata a estratégia a ser definida: 
 A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus 
efeitos. 
 A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus 
efeitos. 
 A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus 
efeitos. 
 A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência 
de incidentes e seus efeitos. 
 A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de 
incidentes e seus efeitos. 
112) Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um 
servidor de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de rede 
você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? 
 na Zona Desmilitarizada (DMZ) suja 
 em uma subrede externa protegida por um proxy 
 ligado diretamente no roteador de borda 
 na rede interna da organização 
 na Zona Desmilitarizada (DMZ) protegida 
113) Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um 
servidor Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes. 
Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de 
segurança? 
 na Zona Desmilitarizada (DMZ) protegida 
 na Zona Desmilitarizada (DMZ) suja 
 na rede interna da organização 
 ligado diretamente no roteador de borda 
 em uma subrede interna protegida por um proxy 
114) Você está trabalhando em um projeto de segurança e necessita identificar os principais tipos de ameaças 
que podem comprometer a segurança da informação na sua empresa. Foram detectados em algumas máquinas 
programas que permitem o retorno de um invasor a um computador comprometido utilizando serviços criados ou 
modificados para este fim e sem precisar recorrer aos métodos utilizados na invasão. Neste caso podemos 
classificar esta ameaça como sendo um: 
 Backdoor 
 Bots 
 Virus 
 Spyware 
 Worm 
115) Você precisa elaborar um relatório com o resultado da análise de vulnerabilidades que foi realizada na sua 
empresa. Você percebeu que no levantamento das vulnerabilidades do ambiente de TI foram encontradas 
inconsistências. Qual das opções abaixo não pode ser considerada como um exemplo de um tipo de 
vulnerabilidade que pode ser encontrada num ambiente de TI? 
 Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos. 
 Falha na transmissão de um arquivo por uma eventual queda de energia. 
 Falhas nas implementações de segurança nos compartilhamentos de rede e arquivos. 
 Falhas nos softwares dos equipamentos de comunicações. 
 Fraqueza de segurança/falhas nos scripts que executam nos servidores web. 
116) Você trabalha na área de administração de rede e para aumentar as medidas de segurança já 
implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os 
hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar: 
 Um filtro de pacotes 
 Um firewall com estado 
 Um servidor proxy 
 Um roteador de borda 
 Um detector de intrusão 
117) Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de 
infraestrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de 
alarmes. Neste caso que tipo de barreira você está implementando? 
 Deter 
 Detectar 
 Dificultar 
 Desencorajar 
 Discriminar 
118) Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as 
medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. 
Neste caso estamos nos referindo a que tipo de risco: 
 Risco verdadeiro; 
 Risco residual; 
 Risco tratado; 
 Risco percebido; 
 Risco real; 
119) Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque 
DDoS e foi descrito como o maior já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕES de 
blogs, incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre eles, 
estão inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcançou vários Gigabits por 
segundo e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do 
Wordpress, a investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. 
Qual você acha que foi a vulnerabilidade para este ataque? 
 Vulnerabilidade Natural 
 Vulnerabilidade Mídias 
 Vulnerabilidade Física 
 Vulnerabilidade Comunicação 
 Vulnerabilidade Software 
120) A preservação da confidencialidade, integridade e disponibilidade da informação utilizada nos sistemas de 
informação requer medidas de segurança, que por vezes são também utilizadas como forma de garantir a 
autenticidade e o não repúdio. As medidas de segurança podem ser classificadas, em função da maneira como 
abordam as ameaças, em duas grandes categorias. Quais são elas e como são definidas? 
A prevenção: é o conjunto das medidas que visam reduzir a probabilidade de concretização das ameaças 
existentes. O efeito destas medidas extingue-se quando uma ameaça se transforma num incidente. A proteção: é 
o conjunto das medidas que visão dotar os sistemas de informação com capacidade de inspeção, detecção, 
reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. Naturalmente, 
estas medidas só atuam quando ocorre um incidente. 
121) Cada empresa ao tratar a segurança da informação e independentemente de sua área de negócio e dos 
objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios fundamentais da segurança 
da informação. Fale sobre cada um dos três princípios. 
Disponibilidade: Garantia de que só usuários autorizados obtêm acesso à informação e aos ativos 
correspondentes sempre que necessário. Integridade: Salvaguardar a exatidão e completeza da informação e 
dos métodos de processamento. Confidencialidade: Garantia de que os usuários autorizados obtém acesso à 
informação e aos ativos correspondentes sempre que necessários 
122) Dado o caráter abstrato e intangível da informação, seu valor está associado a um contexto. A informação 
terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, 
caso contrário poderá ter pouco ou nenhum valor. Neste sentido descreva o ciclo de vida da informação, 
identificando os momentos vividos pela informação. 
Manuseio: Momento em que a informação é criada e manipulada. Armazenamento: Momento em que a 
informação é armazenada. Transporte: Momento em que a informação é transportada. Descarte: Momento em 
que a informação é descartada. 
123) Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo Fraggle e do tipo 
Smurf. 
Um ataque do tipo Fraggle consitem no envio de um excessivo número de pacotes PING para o domínio de 
broadcast da rede, tendo como endereço IP de origem, a vítima desejada. Dessa forma todos os hosts do 
domínio de broadcast irão responder para o endereçoIP da vítima, que foi mascarado pelo atacante, ficando 
desabilitada de suas funções normais. Já um ataque do tipo smurf é idêntico ao atque Fraggle, alterando apenas 
o fato que utiliza-se de pacotes do protocolo UDP. 
124) Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um 
ataque de Buffer Overflow? 
Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que interagem com 
bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma 
série de instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma 
aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que espera por uma entrada de 
dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados. 
125) Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança é um 
aspecto importante na identificação de medidas adequadas de segurança. Qual a diferença entre análise de 
vulnerabilidade, teste de vulnerabilidade e pesquisa de vulnerabilidade? 
Análise vulnerabilidade: Verificar a existência de falhas de segurança no ambiente de TI das empresas. Teste de 
vulnerabilidade: Determinação de que falhas de segurança podem ser aplicadas à máquina ou rede alvo. 
Pesquisa de vulnerabilidade: Significa descobrir as falhas e deficiência em um produto ou aplicação que podem 
comprometer a segurança. 
126) No âmbito da segurança da Informação, uma das etapas de implementação é a classificação da Informação. 
Em que consiste o processo de classificação da Informação? 
O processo de classificação da informação consiste em identificar quais são os níveis de proteção que as 
informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de 
proteção a cada uma delas. 
127) No contexto da segurança da informação, defina os conceitos de Ativo, Vulnerabilidade e Ameaça. 
Ativo: qualquer coisa que tenha valor para a organização. Vulnerabilidade: A ausência de um mecanismo de 
proteção ou falhas em um mecanismo de proteção existente. Ameaça: Evento que tem potencial em si próprio 
para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes 
de situações inesperadas. 
128) Um Analista de segurança deverá ter familiaridade com as ferramentas, técnicas, estratégias e metodologias 
de ataques conhecidos para que possa desta forma contribuir com a definição correta de quais contramedidas 
deverão ser adotadas pela organização. Descreva os cinco passos utilizados pelos atacantes para realizar um 
ataque: 
1 - Levantamento das informações: fase de reconhecimento é uma fase preparatória onde o atacante procura 
coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. 
Podem ser: ativo e passivo. 2 - Exploração das informações (scanning): Fase onde o atacante explora a rede 
baseado nas informações obtidas na fase de reconhecimento. Pode ser considerado uma fase de pré-ataque 
envolve a utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan, scanner de 
vulnerabilidade e network mapping. 3 -Obtenção do acesso: Esta fase consiste na penetração do sistema 
propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer 
através da internet, da rede local, fraude ou roubo. Nesta fase o atacante poderá obter acesso a nível de: sistema 
operacional, aplicação e rede. 4 - Manutenção do acesso: Nesta fase o atacante tenta manter seu próprio 
domínio sobre o sistema. Poderá também protêge-lo de outros atacantes através da utilização de ¿acessos 
exclusivos¿ obtidos através de rootkits, backdoors ou trojans. 5 ¿Camuflagem das evidências: Consiste na 
atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua 
permanência na máquina hospedeira, na utilização indevida dos recursos computacionais 
129)