Exercícios das Provas Gestão de Segurança da Informação

Prévia do material em texto

1 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gestão de Segurança da Informação 
1- Algumas formas para se defender das ameaças são: É fundamental ter um programa antivírus em sua 
máquina, além de instalado, é preciso que ele esteja sempre atualizado. A grande maioria dos programas 
atuais faz isso automaticamente, mas não custa nada ficar de olho na data da última atualização de seu 
software. O que são Ameaças para a Gestão de Segurança da Informação? 
Resposta: _________________________________________________________ 
_______________________________________________________________
______________________________________________________________. 
2- As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de 
uma organização, a todo instante os negócios, seus processos e ativos físicos, tecnológicos e humanos são 
alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de 
Vulnerabilidade na ótica da Segurança da Informação? 
( ) Fragilidade presente ou associada a ativos que exploram ou processam informações . 
( ) Impacto presente ou associada a ativos que manipulam ou processam informações. 
( ) Fragilidade presente ou associada a ameaças que manipulam ou processam informações . 
( ) Ameaça presente ou associada a ativos que manipulam ou processam informações. 
( ) Fragilidade presente ou associada a ativos que manipulam ou processam informações . 
3- Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a informação, não 
acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará evitando como também 
prevenindo a concretização de possíveis ameaças. Baseado neste fato podemos denominar como 
Vulnerabilidade Física: 
( ) Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura). 
( ) Acessos não autorizados ou perda de comunicação e a ausência de sistemas de criptografia nas 
comunicações. 
( ) Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto, 
destruição de propriedades ou de dados, invasões, guerras, etc.). 
( ) Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas. 
( ) Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). 
4- Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar 
no estudo e implementação de um processo de gestão de segurança em uma organização? 
( ) Risco. 
( ) Vulnerabilidade. 
( ) Impacto. 
( ) Ameaça. 
( ) Insegurança 
5- O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um 
computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas 
bancárias e números de cartões de crédito é conhecido como: 
( ) Backdoor. 
( ) Exploit. 
( ) Vírus. 
( ) Spyware. 
( ) Keylogger. 
2 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
6- Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o 
atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. O ataque que tem como objetivo a 
verificação do lixo em busca de informações que possam facilitar o ataque é denominado: 
( ) SQL Injection. 
( ) IP Spoofing. 
( ) Packet Sniffing. 
( ) Dumpster diving ou trashing. 
( ) Ataque Smurf. 
7- Você trabalha na área de gestão de risco da sua organização. Após a fase de análise de risco, você irá realizar 
a etapa de tratamento de risco através da implementação de controles que irão reduzir a probabilidade de 
ameaças se concretizarem, assim como a diminuição do grau de vulnerabilidade do ambiente de produção. 
Neste caso a medida de proteção implementada foi: 
( ) Medidas corretivas. 
( ) Medidas de Controles. 
( ) Métodos detectivos. 
( ) Medidas reativas. 
( ) Medidas preventivas. 
8- Uma vez definido nosso foco de atuação, os profissionais de segurança têm à sua disposição diversas 
estratégias de proteção, sendo algumas mais úteis em determinadas situações que outras, mas, no geral, 
elas podem estar presentes no ambiente como um todo, se sobrepondo e se complementando. Dito isso 
defina com suas palavras um "FIREWALL": 
Resposta: _________________________________________________________ 
_______________________________________________________________
______________________________________________________________. 
9- A respeito da norma ISO/IEC 27002/2005 julgue os itens seguintes: 
I. Para se obter uma certificação segundo a norma ISO/IEC 27002/2005 será necessário, entre outros controles, 
proteger dados pessoais e privacidade das pessoas, Os registros da organização, e, os direitos de propriedade 
intelectual. 
II. São fontes de requisitos de Segurança da Informação, segundo a supracitada norma, a análise de riscos, a 
legislação pertinente e os princípios organizacionais. 
III. Para estar em conformidade com supracitada norma, todos os controles nela previstos devem ser 
implantados em qualquer tipo de Organização. 
IV. Segundo a supracitada norma, a delegação de responsabilidades e o treinamento formal dos usuários nos 
princípios de Segurança da Informação, são considerados requisitos "essenciais" de Segurança da Informação. 
Assinale a opção correta: 
( ) A afirmativa 4 é verdadeira e a 2 é falsa. 
( ) Apenas a afirmativa 2 está correta. 
( ) Todas as afirmativas são falsas. 
( ) Apenas as afirmativas 2 e 3 não estão corretas. 
( ) As afirmativas 1, 3, 4 estão corretas. 
 
 
 
3 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
10- Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações? 
( ) Planejamento, maturação e desenvolvimento. 
( ) Manutenção, desenvolvimento e implementação do programa. 
( ) Manutenção, implementação do programa e maturação. 
( ) Planejamento, estudo e implementação do programa. 
( ) Planejamento, desenvolvimento e implementação do programa. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
4 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gabarito 
 
1- Gabarito: Representam perigo para os ativos - fatores externos; Oferecem riscos potenciais ao ambiente de 
TI e a continuidade dos negócios; Podem afetar aspectos básicos da segurança. 
 
2- Fragilidade presente ou associada a ativos que manipulam ou processam informações. 
 
3- Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas. 
 
4- Insegurança. 
 
5- Keylogger. 
 
6- Dumpster diving ou trashing. 
 
7- Medidas preventivas. 
 
8- Gabarito: Isola a rede interna da organização da área pública da Internet, permitindo que alguns pacotes 
passem e outros não, prevenindo ataques de negação de serviço ou modificações e acessos ilegais aos dados 
internos Permite apenas acesso autorizado à rede interna (conjunto de usuários e servidores autenticados). 
 
9- Todas as afirmativas são falsas. 
 
10- Planejamento, desenvolvimento e implementação do programa. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
5 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gestão de Segurança da Informação 
1- O profissional da áreade Tecnologia da Informação atua diretamente no planejamento, implementação e 
implantação de soluções de TI nas organizações. Desta forma, é imprescindível que entenda o porquê das 
necessidades de segurança nas organizações, a importância da informação, compreender o conceito de que 
é segurança da informação as melhores práticas do mercado. Defina com suas palavras o que é Segurança 
das Informações: 
Resposta: _________________________________________________________ 
_______________________________________________________________
______________________________________________________________. 
2- Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma 
como a tecnologia da informação apoia as operações e processos das empresas, qual das opções abaixo 
poderá ser escolhida como sendo aquela que possui os elementos fortemente responsáveis por este 
processo? 
( ) O crescimento explosivo da venda de computadores e sistemas livres; 
( ) O Aumento no consumo de softwares licenciados; 
( ) O uso da internet para sites de relacionamento; 
( ) O crescimento explosivo dos cursos relacionados com a tecnologia da informação; 
( ) O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; 
3- Um Analista de segurança deverá ter familiaridade com as ferramentas, técnicas, estratégias e metodologias 
de ataques conhecidos para que possa desta forma contribuir com a definição correta de quais 
contramedidas deverão ser adotadas pela organização. Descreva os cinco passos utilizados pelos atacantes 
para realizar um ataque: 
Resposta: _________________________________________________________ 
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
______________________________________________________________. 
6 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
4- Valores são o conjunto de características de uma determinada pessoa ou organização, que determinam a 
forma como a pessoa ou organização se comportam e interagem com outros indivíduos e com o meio 
ambiente. A informação terá valor econômico para uma organização se ela gerar lucros ou se for 
alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Qual a melhor 
definição para o valor de uso de uma informação: 
( ) Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas 
pessoas. 
( ) Utiliza-se das propriedades inseridas nos dados. 
( ) Baseia-se na utilização final que se fará com a informação. 
( ) É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda). 
( ) Reflete o custo substitutivo de um bem. 
5- Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado 
pelas redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as 
informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o 
intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro 
ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como 
podemos definir o que são vulnerabilidades: 
( ) Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o 
aparecimento de ameaças potenciais à continuidade dos negócios das organizações. 
( ) Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança 
do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou 
informações. 
( ) São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades 
eletromagnéticas, maremotos, aquecimento, poluição, etc. 
( ) Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e 
disseminadores de vírus de computadores, incendiários. 
( ) É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da 
utilização de SQL. 
6- Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? 
( ) Monitoramento de URLs acessadas enquanto o usuário navega na Internet 
( ) Alteração da página inicial apresentada no browser do usuário; 
( ) Captura de outras senhas usadas em sites de comércio eletrônico; 
( ) Alteração ou destruição de arquivos; 
( ) Captura de senhas bancárias e números de cartões de crédito; 
7- Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de 
dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não 
autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os 
arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque? 
( ) Obtenção de Acesso. 
( ) Levantamento das Informações. 
( ) Exploração das Informações. 
( ) Camuflagem das Evidências. 
( ) Divulgação do Ataque. 
 
 
7 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
8- Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infra- 
estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de 
alarmes. Neste caso que tipo de barreira você está implementando? 
( ) Detectar. 
( ) Desencorajar. 
( ) Discriminar. 
( ) Dificultar. 
( ) Deter. 
9- Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da 
informação, através de três fontes principais: 
( ) Análise de vulnerabilidades, requisitos legais e classificação da informação. 
( ) Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais. 
( ) Requisitos de negócio, Análise de risco, Requisitos legais. 
( ) Análise de risco, análise do impacto de negócio (BIA), classificação da informação. 
( ) Classificação da informação, requisitos de negócio e análise de risco. 
10- O Plano de Continuidade do Negócio...... 
( ) prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. 
( ) precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de 
alguém como os processos organizacionais. 
( ) deve ser elaborado com base em premissas departamentais particulares do que é considerado importante 
ou não. 
( ) define uma ação de continuidade imediata e temporária. 
( ) não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos 
aos ativos de informação.8 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gabarito 
1- Gabarito: Trata-se da proteção, dispensada aos dados e informações, contra ações não autorizadas relativas 
à divulgação, transferência, modificação ou destruição destes, sejam estas ações intencionais ou acidentais. 
 
2- O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; 
 
3- Gabarito: 1 -Levantamento das informações: fase de reconhecimento é uma fase preparatória onde o 
atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do 
lançamento do ataque. Podem ser: ativo e passivo. 
2 - Exploração das informações (scanning): Fase onde o atacante explora a rede baseado nas informações 
obtidas na fase de reconhecimento. Pode ser considerado uma fase de pré- ataque envolve a utilização de 
diferentes técnicas e softwares, como por exemplo, a utilização de port scan, scanner de vulnerabilidade e 
network mapping. 
3 - Obtenção do acesso: Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são 
exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer através da internet, da rede local, 
fraude ou roubo. Nesta fase o atacante poderá obter acesso a nível de: sistema operacional, aplicação e 
rede. 
4 - Manutenção do acesso: Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá 
também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de 
rootkits, backdoors ou trojans. 
5 - Camuflagem das evidências: Consiste na atividade realizada pelo atacante de tentar camuflar seus atos 
não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização 
indevida dos recursos computacionais 
 
4- Baseia-se na utilização final que se fará com a informação. 
 
5- Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o 
aparecimento de ameaças potenciais à continuidade dos negócios das organizações. 
 
6- Alteração ou destruição de arquivos; 
 
7- Camuflagem das Evidências. 
 
8- Desencorajar. 
 
9- Requisitos de negócio, Análise de risco, Requisitos legais. 
 
10- Prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. 
 
 
 
9 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gestão de Segurança da Informação 
1- A segurança da informação está relacionada com proteção dos ativos, no sentido de preservar o valor que 
possuem para um indivíduo ou uma organização. Defina com suas palavras o que é um Ativo para a 
Segurança das Informações: 
Resposta: _________________________________________________________ 
_______________________________________________________________
______________________________________________________________. 
2- Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma 
como a tecnologia da informação tem apoiado as operações das empresas, qual das opções abaixo não é 
verdadeira quando tratamos do conceito de ¿Informação¿? 
( ) É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. 
( ) É fundamental proteger o conhecimento gerado. 
( ) Pode conter aspectos estratégicos para a Organização que o gerou. 
( ) A informação é vital para o processo de tomada de decisão de qualquer corporação. 
( ) Deve ser disponibilizada sempre que solicitada. 
3- Descreva o processo de Criptografia de Chave Assimétrica. 
Resposta: _________________________________________________________ 
_______________________________________________________________
_______________________________________________________________
______________________________________________________________. 
4- Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo 
financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da 
sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso 
você classificaria estas informações em qual nível de segurança? 
( ) Pública. 
( ) Confidencial. 
( ) Irrestrito. 
( ) Secreta. 
( ) Interna. 
5- Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque 
os hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e 
roubavam os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que 
traduziram o endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles 
puderam roubar os dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? 
( ) Vulnerabilidade de Software. 
( ) Vulnerabilidade Natural. 
( ) Vulnerabilidade Mídia. 
( ) Vulnerabilidade de Comunicação. 
( ) Vulnerabilidade Física. 
 
10 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
6- Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, 
seja através de algum outro programa instalado em um computador pode ser descrito como sendo um: 
( ) Java Script 
( ) Spyware 
( ) Active-x 
( ) Worm 
( ) Adware 
7- João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede 
através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da 
empresa. Qual o tipo de ataque que o invasor está tentando utilizar? 
( ) SYN Flooding. 
( ) Fraggle. 
( ) Port Scanning. 
( ) Fragmentação de pacotes IP. 
( ) Ip Spoofing. 
8- Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da 
Informação: 
( ) Tudo aquilo que tem origem para causar algum tipo de erro nos ativos. 
( ) Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos. 
( ) Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. 
( ) Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. 
( ) Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos. 
9- Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da 
informação, através de três fontes principais: 
( ) Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais. 
( ) Classificação da informação, requisitos de negócio e análise de risco. 
( ) Análise de vulnerabilidades, requisitos legais e classificação da informação. 
( ) Análise de risco, análise do impacto de negócio (BIA), classificação da informação. 
( ) Requisitos de negócio, Análise de risco, Requisitos legais. 
10- Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um 
servidor de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de 
rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? 
( ) ligado diretamente no roteador de borda 
( ) em uma subrede externa protegida por um proxy. 
( ) na Zona Demilitarizada (DMZ) protegida. 
( ) na Zona Demilitarizada (DMZ) suja. 
( ) na rede interna da organização. 
 
 
 
11 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gabarito 
1- Resposta: Ativo em segurança da informação é tudo aquilo que tem valor para a organização, pode ser um 
computador especifico,pastas de arquivos, relatórios impressos, etc. 
 
2- Deve ser disponibilizada sempre que solicitada. 
 
3- Resposta: O processo de criptografia de chave assimétrica é aquele em que existem duas chaves, uma 
pública e uma secreta. O emissor encripta a mensagem com sua chave secreta e o receptor a decifra com a 
chave pública do emissor. É inviável em termos computacionais da atualidade descobrir a chave secreta 
através da chave pública. 
 
4- Confidencial. 
 
5- Vulnerabilidade de Software. 
 
6- Adware. 
 
7- SYN Flooding. 
 
8- Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. 
 
9- Requisitos de negócio, Análise de risco, Requisitos legais. 
 
10- na rede interna da organização. 
 
 
 
 
 
 
 
 
 
 
 
12 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gestão de Segurança da Informação 
1- A segurança da informação está relacionada com proteção dos ativos, no sentido de preservar o valor que 
possuem para um indivíduo ou uma organização. Defina com suas palavras o que é um Ativo para a 
Segurança das Informações: 
Resposta: _________________________________________________________ 
_______________________________________________________________
______________________________________________________________. 
2- Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que 
trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo 
possuía um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na 
segurança da informação relacionada à: 
( ) Autenticidade; 
( ) Auditoria; 
( ) Integridade; 
( ) Confidencialidade; 
( ) Não-Repúdio; 
3- Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de 
acordo com a ABNT NBR ISO/IEC 27005. 
( ) As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos. 
( ) As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem 
humana. 
( ) A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente 
estabelecido. 
( ) Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de 
incidentes de segurança. 
( ) O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
4- No contexto da Segurança da Informação, a medida que indica a probabilidade de uma determinada ameaça 
se concretizar, combinada com os impactos que ela trará está relacionada com qual conceito de? 
( ) Vulnerabilidade. 
( ) Impacto. 
( ) Risco. 
( ) Ameaça. 
( ) Valor. 
5- Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? 
( ) Fraco. 
( ) Ativo. 
( ) Secreto. 
( ) Passivo. 
( ) Forte. 
13 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
6- Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço 
específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados 
em cada computador? 
( ) Ataque à Aplicação. 
( ) Ataque aos Sistemas Operacionais. 
( ) Ataque para Obtenção de Informações. 
( ) Ataques de códigos pré-fabricados. 
( ) Ataque de Configuração mal feita. 
7- Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de 
operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes 
riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação 
significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles (soluções e 
ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" 
na Análise e Avaliação dos Riscos: 
( ) Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de 
vulnerabilidade do ambiente/ativo; sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade 
de gerar efeitos adversos na organização. 
( ) Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-
lo ou impedir que se repita. 
( ) A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os 
componentes associados ao risco. O risco é representando em termos de possíveis perdas financeiras. 
( ) Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do 
risco que foram levantados. 
( ) Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções 
mais subjetivas como alto, médio e baixo. 
8- A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação 
de câmeras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual 
o tipo de proteção que está sendo utilizada? 
( ) Limitação. 
( ) Preventiva. 
( ) Correção. 
( ) Desencorajamento. 
( ) Reação. 
9- O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que 
podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada 
organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o 
escopo, a estrutura do programa de GCN e o esforço gasto, explique o elemento "Desenvolvendo e 
Implementando" do GCN: 
Resposta: _________________________________________________________ 
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
______________________________________________________________. 
14 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
10- A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente 
externo (inseguro), é conhecida como: 
( ) pki. 
( ) zona desmilitarizada (DMZ). 
( ) tcp/ip. 
( ) wi-fi. 
( ) backbone. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
15 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gabarito 
1- Gabarito: Um ativo é qualquer coisa que tenha valor para a organização. 
 
2- Integridade; 
 
 
3- O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
 
4- Risco. 
 
5- Ativo. 
 
 
6- Ataque para Obtenção de Informações. 
 
7- A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os 
componentes associados ao risco. O risco é representando em termos de possíveis perdas financeiras. 
 
 
8- Desencorajamento 
 
9- Gabarito: Desenvolvendo e implementando: O desenvolvimento e implementação de uma resposta de GCN 
resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, 
continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e 
após um incidente, para manter ou restaurar as operações. 
 
10- zona desmilitarizada (DMZ).16 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gestão de Segurança da Informação 
1- No âmbito da segurança da Informação, uma das etapas de implementação é a classificação da Informação. 
Em que consiste o processo de classificação da Informação? 
Resposta: _________________________________________________________ 
_______________________________________________________________
______________________________________________________________. 
2- Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo 
de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? 
( ) Risco. 
( ) Vulnerabilidade. 
( ) Valor. 
( ) Ameaça. 
( ) Impacto. 
3- Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a informação, não 
acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará evitando como também 
prevenindo a concretização de possíveis ameaças. Baseado neste fato podemos denominar como 
Vulnerabilidade Física: 
( ) Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). 
( ) Acessos não autorizados ou perda de comunicação e a ausência de sistemas de criptografia nas 
comunicações. 
( ) Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto, 
destruição de propriedades ou de dados, invasões, guerras, etc.). 
( ) Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas. 
( ) Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura). 
4- Desde o aparecimento do primeiro spam, em 1994, a prática de enviar e-mails não solicitados tem sido 
aplicada com vários objetivos distintos e também utilizando diferentes aplicativos e meios de propagação na 
rede. Os tipos de spam identificados até o momento são: correntes, boatos, lendas urbanas, propagandas, 
ameaças, pornografia, códigos maliciosos, fraudes e golpes. É muito importante que se saiba como 
identificar os spams, para poder detectá-los mais facilmente e agir adequadamente. Dentre as afirmativas 
abaixo marque aquelas que podemos assinalar como sendo as principais características dos spams: 
I. Apresentam cabeçalho suspeito. 
II. Apresentam no campo Assunto palavras com grafia errada ou suspeita. 
III. Apresentam no campo Assunto textos alarmantes ou vagos. 
IV. Oferecem opção de remoção da lista de divulgação. 
V. Prometem que serão enviados "uma única vez. 
VI. Baseiam-se em leis e regulamentações inexistentes. 
Estão Corretas: 
( ) I, III e V. 
( ) Nenhuma afirmativa está correta. 
( ) I, II, III, V e VI. 
( ) II, IV e VI. 
( ) Todas as afirmativas estão corretas. 
5- O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos 
anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração 
17 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
desses dados de forma confiável. Neste contexto qual das opções abaixo poderá definir melhor o conceito 
de ¿Dado¿? 
( ) Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões de fatos ou 
situações. 
( ) Elemento não identificado e que por si só não conduz a uma compreensão de determinado fato ou 
situação. 
( ) Elemento identificado em sua forma trabalhada que por si só não conduz a uma compreensão de 
determinado fato ou situação. 
( ) Elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado 
fato ou situação. 
( ) Elemento identificado em sua forma trabalhada e que por si só conduz a várias compreensões de fatos e 
situações. 
6- Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas 
de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas 
políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma 
reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria 
a melhor forma de definir a fase de "Levantamento das informações" nesta receita: 
( ) Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. 
( ) Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de 
outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans. 
( ) Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o 
objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos 
computacionais. 
( ) Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as 
vulnerabilidades encontradas no sistema. 
( ) É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o 
¿alvo em avaliação¿ antes do lançamento do ataque. 
7- Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da 
Informação: 
( ) Probabilidade de um ativo explorar uma vulnerabilidade. 
( ) Probabilidade de uma ameaça explorar um incidente. 
( ) Probabilidade de uma ameaça explorar uma vulnerabilidade. 
( ) Probabilidade de um incidente ocorrer mais vezes. 
( ) Probabilidade de um ativo explorar uma ameaça. 
8- A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com 
o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua 
gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do 
SGSI, explique a etapa "Check" do PDCA: 
Resposta: _________________________________________________________ 
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
______________________________________________________________. 
18 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
9- Quando devem ser executadas as ações corretivas? 
( ) Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma a 
evitar a sua repetição. 
( ) Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar 
a sua repetição. 
( ) Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua 
repetição. 
( ) Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do SGSI 
de forma a evitar a sua repetição. 
( ) Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a 
evitar a sua repetição. 
10- Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa 
estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios 
que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as 
operações. 
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento. 
( ) Incluindo a GCN na cultura da organização.( ) Entendendo a organização. 
( ) Testando, mantendo e analisando criticamente os preparativos de GCN. 
( ) Determinando a estratégia de continuidade de negócios. 
( ) Desenvolvendo e implementando uma resposta de GCN. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
19 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gabarito 
1- Gabarito: O processo de classificação da informação consiste em identificar quais são os níveis de proteção 
que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os 
controles de proteção a cada uma delas. 
 
2- Vulnerabilidade. 
 
3- Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas. 
 
4- Todas as afirmativas estão corretas. 
 
5- Elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado 
fato ou situação. 
 
6- É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o 
¿alvo em avaliação¿ antes do lançamento do ataque. 
 
7- Probabilidade de uma ameaça explorar uma vulnerabilidade. 
 
8- Gabarito: Check (monitorar e analisar criticamente o SGSI): - A organização deve implementar 
procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, 
identificar as tentativas e violações de segurança bem-sucedida, e os incidentes de segurança da informação. 
- Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das 
auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser 
realizado também a análise crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas 
auditorias regularmente. Em função dos resultados das atividades de monitoramento e análise crítica os 
planos de segurança devem ser atualizados. 
 
9- Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a 
evitar a sua repetição. 
 
10- Desenvolvendo e implementando uma resposta de GCN. 
 
 
 
 
 
 
 
 
 
 
 
 
20 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gestão de Segurança da Informação 
1- No cenário da figura abaixo estão dois generais. 
 
Um em cada cume do complexo montanhoso ao fundo. Bem abaixo, no vale sombrio, se esconde o mais 
terrível inimigo o qual só pode ser derrotado se for atacado simultaneamente pelos exércitos dos dois 
generais. Ponha- se no lugar dos generais e diga como você faria para combinar um ataque ao inimigo. 
Dados para a montagem da estratégia: 1 : Você dispõe apenas de mensageiros que carregam mensagens 
escritas; 2 : Você não sabe onde está o inimigo, sabe apenas que ele se concentra no vale; 3 : Você não 
confia plenamente nos seus mensageiros. Estabeleça a forma de ataque, considerando as técnicas de ataque 
mencionadas na sua aula 5. 
Resposta: _________________________________________________________ 
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
______________________________________________________________. 
2- Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos 
dizer que: 
( ) A afirmativa é verdadeira. 
( ) A afirmativa é verdadeira somente para ameaças identificadas. 
( ) A afirmativa é verdadeira somente para vulnerabilidades lógicas. 
( ) A afirmativa é verdadeira somente para vulnerabilidades físicas. 
( ) A afirmativa é falsa. 
3- A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar 
lucros ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das 
opções abaixo apresenta os quatro aspectos importantes para a classificação das informações? 
( ) Confiabilidade, integridade, risco e valor. 
( ) Confiabilidade, integridade, vulnerabilidade e valor. 
( ) Confidencialidade, integridade, disponibilidade e vulnerabilidade . 
( ) Confidencialidade, integridade, disponibilidade e valor. 
( ) Confidencialidade, vulnerabilidade, disponibilidade e valor. 
 
21 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
4- Ataque ao site do IBGE - Junho de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do 
ar, antes foi deixada uma mensagem informando: "Este mês, o governo vivenciará o maior número de 
ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este 
site mas para várias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de 
acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais 
informativo, não comprometendo aos dados internos e críticos que não devem ser divulgados. Qual você 
acha que foi a vulnerabilidade para este ataque? 
( ) Vulnerabilidade Física. 
( ) Vulnerabilidade Mídias. 
( ) Vulnerabilidade Comunicação. 
( ) Vulnerabilidade Software. 
( ) Vulnerabilidade Natural. 
5- Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? 
( ) Captura de outras senhas usadas em sites de comércio eletrônico; 
( ) Captura de senhas bancárias e números de cartões de crédito; 
( ) Alteração da página inicial apresentada no browser do usuário; 
( ) Alteração ou destruição de arquivos; 
( ) Monitoramento de URLs acessadas enquanto o usuário navega na Internet. 
6- Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será 
necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu 
objetivo o invasor tentará levantar estas informações através da escuta das portas do protocolo TCP e UDP. 
Neste caso estamos nos referindo a um ataque do tipo: 
( ) Fragmentação de Pacotes IP. 
( ) Three-way-handshake. 
( ) Port Scanning. 
( ) SYN Flooding. 
( ) Fraggle. 
7- Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são 
especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para 
alcançar a estratégia definida nas diretrizes? 
( ) Diretrizes. 
( ) Relatório Estratégico. 
( ) Normas. 
( ) Manuais. 
( ) Procedimentos. 
 
 
 
22 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
8- Uma vez definido nosso foco de atuação, os profissionais de segurança têm à sua disposição diversas 
estratégias de proteção, sendo algumas mais úteis em determinadas situações que outras, mas, no geral, 
elas podem estar presentes no ambiente como um todo, se sobrepondo e se complementando. Dito isso 
defina com suas palavras o que é uma VPN (Virtual Private Networks): 
Resposta: _________________________________________________________ 
_______________________________________________________________
______________________________________________________________. 
9- A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos 
de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança 
da informação levando em consideração as políticas para autorização e disseminaçãoda informação. Neste 
caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança? 
( ) Gerenciamento das Operações e Comunicações. 
( ) Desenvolvimento e Manutenção de Sistemas. 
( ) Segurança em Recursos Humanos. 
( ) Controle de Acesso. 
( ) Segurança Física e do Ambiente. 
10- Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio 
(GCN) esteja no nível mais alto da organização? 
( ) Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções 
inesperadas. 
( ) Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções 
inesperadas. 
( ) Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções 
inesperadas. 
( ) Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas. 
( ) Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas. 
 
 
 
 
 
 
 
 
 
 
 
 
 
23 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gabarito 
1- Gabarito: Levantamento das informações ¿ Importantíssimo, pois se trata da fase em que é preciso localizar, 
através do rastreamento com vários mensageiros, exatamente onde está o inimigo, ou seja, a sua 
localização. Obtenção do acesso ¿ Procurar por falhas do inimigo, ou seja, locais onde estejam com menos 
concentração de soldados. ¿ Esta fase consiste no avanço e na penetração do terreno propriamente dita, ou 
seja, o ataque sincronizado com o outro general, através da troca de mensagens criptografadas. Nesta fase 
são exploradas as vulnerabilidades encontradas no exército inimigo. Manutenção do acesso Aqui os generais 
tentarão manter seu próprio domínio sobre o inimigo já dominado. Nesta fase o exército do inimigo já estará 
dominado, frágil e comprometido. Camuflagem das evidências Esta fase consiste na atividade realizada pelo 
atacante de camuflar seus atos não autorizados, com o objetivo de prolongar sua permanência nas 
instalações do inimigo, sem deixar que desconfie quais foram as suas táticas usadas para obter o sucesso. 
 
2- A afirmativa é verdadeira. 
 
3- Confidencialidade, integridade, disponibilidade e valor. 
 
4- Vulnerabilidade Software. 
 
5- Alteração ou destruição de arquivos; 
 
6- Port Scanning. 
 
7- Normas. 
 
8- Gabarito: - Interligam várias Intranets através da Internet - Usam o conceito de tunelamento: Dados são 
criptografados e autenticados Usa conexões TCP comuns Túneis podem ser pré-estabelecidos - Permitem 
acessos remotos com segurança. 
 
9- Controle de Acesso. 
 
10- Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas. 
 
 
 
 
 
 
 
 
 
 
 
 
24 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gestão de Segurança da Informação 
1- De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID 
difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio 
e de segurança¿, podemos dizer que: 
( ) A afirmação é somente falsa para as empresas privadas. 
( ) A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
( ) A afirmação é verdadeira. 
( ) A afirmação é falsa. 
( ) A afirmação é somente verdadeira para as empresas privadas. 
2- A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com 
o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua 
gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do 
SGSI, explique a etapa "Check" do PDCA: 
Resposta _________________________________________________________ 
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________. 
3- Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, 
seja através de algum outro programa instalado em um computador pode ser descrito como sendo um: 
( ) Active-x. 
( ) Java Script. 
( ) Adware. 
( ) Spyware. 
( ) Worm. 
4- Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem como uma 
das suas etapas a atividade de classificação dos ativos da organização. Qual das opções abaixo não 
representa um exemplo de Ativo Intangível: 
( ) Sistema de Informação. 
( ) Marca de um Produto. 
( ) Imagem da Empresa no Mercado. 
( ) Qualidade do Serviço. 
( ) Confiabilidade de um Banco. 
5- Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de 
acordo com a ABNT NBR ISO/IEC 27005. 
( ) As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos. 
( ) Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de 
incidentes de segurança. 
( ) A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente 
estabelecido. 
( ) O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
( ) As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem 
humana. 
25 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
6- Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um 
ataque de Buffer Overflow? 
Resposta _________________________________________________________ 
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________. 
7- Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas 
servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga 
ao invés da invasão? 
( ) Source Routing. 
( ) Shrink wrap code. 
( ) DDos. 
( ) SQL Injection. 
( ) Phishing Scan. 
8- Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da 
Informação: 
( ) Probabilidade de uma ameaça explorar um incidente. 
( ) Probabilidade de um ativo explorar uma vulnerabilidade. 
( ) Probabilidade de uma ameaça explorar uma vulnerabilidade. 
( ) Probabilidade de um ativo explorar uma ameaça. 
( ) Probabilidade de um incidente ocorrer mais vezes. 
9- No contexto da Segurança da Informação, qual das opções abaixo não pode ser considerada como um 
Problema de Segurança: 
( ) Uma tempestade. 
( ) Uma inundação. 
( ) A perda de qualquer aspecto de segurança importante para a organização. 
( ) Restrição Financeira. 
( ) Uma Operação Incorreta ou Erro do usuário. 
10- Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações? 
( ) Manutenção, implementação do programa e maturação. 
( ) Planejamento, estudo e implementação do programa. 
( ) Planejamento, maturação e desenvolvimento. 
() Manutenção, desenvolvimento e implementação do programa. 
( ) Planejamento, desenvolvimento e implementação do programa. 
 
 
 
 
 
26 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gabarito 
1- A afirmação é verdadeira. 
 
2- Gabarito: Check (monitorar e analisar criticamente o SGSI): - A organização deve implementar 
procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, 
identificar as tentativas e violações de segurança bem-sucedida, e os incidentes de segurança da informação. 
- Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das 
auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser 
realizado também a análise crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas 
auditorias regularmente. Em função dos resultados das atividades de monitoramento e análise crítica os 
planos de segurança devem ser atualizados. 
 
3- Adware. 
 
4- Sistema de Informação. 
 
5- O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
 
6- Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que 
interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante 
consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das 
entradas de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa 
que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo 
com o padrão de entrada de dados. 
 
7- DDos. 
 
8- Probabilidade de uma ameaça explorar uma vulnerabilidade. 
 
9- Restrição Financeira. 
 
10- Planejamento, desenvolvimento e implementação do programa. 
 
 
 
 
 
 
 
 
 
 
 
 
27 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gestão de Segurança da Informação 
1- De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID 
difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio 
e de segurança¿, podemos dizer que: 
( ) A afirmação é verdadeira. 
( ) A afirmação é somente verdadeira para as empresas privadas. 
( ) A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
( ) A afirmação é falsa. 
( ) A afirmação é somente falsa para as empresas privadas. 
2- O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo 
de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação 
apoia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não 
pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas 
empresas? 
( ) Apoio ao uso da Internet e do ambiente wireless. 
( ) Apoio às Estratégias para vantagem competitiva. 
( ) Apoio à tomada de decisão empresarial. 
( ) Apoio às Operações. 
( ) Apoio aos Processos. 
3- No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a justificativa de 
defender a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra 
Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por 
terem negado hospedagem, bloqueado recursos financeiros ou vetado doações para o WikiLeaks, o serviço 
responsável pelo vazamento de mais de 250 000 documentos diplomáticos americanos, Qual você acha que 
seria a vulnerabilidade neste ataque? 
( ) Vulnerabilidade de Comunicação. 
( ) Vulnerabilidade Física. 
( ) Vulnerabilidade Mídia. 
( ) Vulnerabilidade de Software. 
( ) Vulnerabilidade Natural. 
4- As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. 
poderão ser classificadas como: 
( ) Inconsequentes. 
( ) Destrutivas. 
( ) Tecnológicas. 
( ) Globalizadas. 
( ) Voluntárias. 
5- A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio 
de informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, 
foi utilizado um ataque de: 
( ) Buffer Overflow. 
( ) Smurf. 
( ) Fraggle. 
( ) Fragmentação de pacotes IP. 
( ) SQL injection. 
28 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
6- A preservação da confidencialidade, integridade e disponibilidade da informação utilizada nos sistemas de 
informação requer medidas de segurança, que por vezes são também utilizadas como forma de garantir a 
autenticidade e o não repúdio. As medidas de segurança podem ser classificadas, em função da maneira 
como abordam as ameaças, em duas grandes categorias. Quais são elas e como são definidas? 
Resposta _________________________________________________________ 
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________. 
7- O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que 
podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada 
organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o 
escopo, a estrutura do programa de GCN e o esforço gasto. explique o elemento "Determinando a 
estratégia" do GCN: 
Resposta _________________________________________________________ 
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________. 
8- Qual das opções abaixo descreve melhor o conceito de "Risco" quando relacionado com a Segurança da 
Informação: 
( ) Probabilidade de um incidente ocorrer mais vezes. 
( ) Probabilidade de um ativo explorar uma vulnerabilidade. 
( ) Probabilidade de um ativo explorar uma ameaça. 
( ) Probabilidade de uma ameaça explorar uma vulnerabilidade. 
( ) Probabilidade de uma ameaça explorar um incidente. 
9- Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são 
genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são 
0brigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: 
( ) Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas. 
( ) Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de 
risco. 
( ) Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da 
informação. 
( ) Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela 
direção e Melhoria do SGSI. 
( ) Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI. 
 
 
29 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
10- Qual o dispositivo que tem por objetivo aplicaruma política de segurança a um determinado ponto de 
controle da rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre 
essa rede e a internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados. 
( ) Adware. 
( ) Mailing. 
( ) Firewall. 
( ) Antivírus. 
( ) Spyware. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
30 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gabarito 
1- A afirmação é verdadeira. 
 
2- Apoio ao uso da Internet e do ambiente wireless. 
 
3- Vulnerabilidade de Software. 
 
4- Voluntárias. 
 
5- Buffer Overflow. 
 
6- Gabarito: A prevenção: é o conjunto das medidas que visam reduzir a probabilidade de concretização das 
ameaças existentes. O efeito destas medidas extingue-se quando uma ameaça se transforma num incidente. 
A proteção: é o conjunto das medidas que visão dotar os sistemas de informação com capacidade de 
inspeção, detecção, reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se 
concretizam. Naturalmente, estas medidas só atuam quando ocorre um incidente. 
 
7- Gabarito: A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada 
seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus 
produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma 
interrupção. 
 
8- Probabilidade de uma ameaça explorar uma vulnerabilidade. 
 
9- Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela 
direção e Melhoria do SGSI. 
 
10- Firewall. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
31 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gestão de Segurança da Informação 
1- O profissional da área de Tecnologia da Informação atua diretamente no planejamento, implementação e 
implantação de soluções de TI nas organizações. Desta forma, é imprescindível que entenda o porquê das 
necessidades de segurança nas organizações, a importância da informação, compreender o conceito de que 
é segurança da informação as melhores práticas do mercado. Defina com suas palavras o que é Segurança 
das Informações: 
Resposta: _________________________________________________________ 
_______________________________________________________________
______________________________________________________________. 
2- O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que 
podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. C ada 
organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o 
escopo, a estrutura do programa de GC N e o esforço gasto, explique o elemento "Testando e Mantendo" do 
GCN: 
Resposta: _________________________________________________________ 
_______________________________________________________________
______________________________________________________________. 
3- A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar 
seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades 
principais é a disponibilidade, qual das definições abaixo expressa melhor este princípio: 
( ) Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para 
um usuário, entidade, sistema ou processo autorizado e aprovado. 
( ) Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou 
processos. 
( ) Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, sistemas ou 
processos autorizados e aprovados, não deveriam ser passíveis de cancelamento posterior. 
( ) Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou 
ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados. 
( ) Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira 
não autorizada e aprovada. 
4- As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de 
uma organização, a todo instante os negócios, seus processos e ativos físicos, tecnológicos e humanos são 
alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de 
Vulnerabilidade na ótica da Segurança da Informação? 
( ) Ameaça presente ou associada a ativos que manipulam ou processam informações. 
( ) Impacto presente ou associada a ativos que manipulam ou processam informações. 
( ) Fragilidade presente ou associada a ativos que exploram ou processam informações. 
( ) Fragilidade presente ou associada a ameaças que manipulam ou processam informações. 
( ) Fragilidade presente ou associada a ativos que manipulam ou processam informações. 
 
 
32 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
5- As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode 
dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar 
particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em 
relação a Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física: 
( ) Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. 
( ) Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). 
( ) Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda 
de dados ou indisponibilidade de recursos quando necessários. 
( ) Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. 
( ) Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 
6- As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua 
intencionalidade: 
( ) Intencional, proposital e natural. 
( ) Natural, presencial e remota. 
( ) Intencional, presencial e remota. 
( ) Natural, voluntária e involuntária. 
( ) Voluntária, involuntária e intencional. 
7- Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de 
dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não 
autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os 
arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque? 
( ) Obtenção de Acesso. 
( ) Camuflagem das Evidências. 
( ) Levantamento das Informações. 
( ) Divulgação do Ataque. 
( ) Exploração das Informações. 
8- Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são 
utilizados termos numéricos para os componentes associados ao risco. 
( ) Método Exploratório. 
( ) Método Numérico. 
( ) Método Quantitativo. 
( ) Método Qualitativo. 
( ) Método Classificatório. 
9- Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de 
situações que possam trazer prejuízo. Neste contexto qual das opçõesabaixo apresenta os tipos proteção 
possíveis de serem aplicadas às organizações? 
( ) Lógica, Administrativa e Contábil. 
( ) Administrativa, Contábil e Física. 
( ) Lógica, Física e Programada. 
( ) Administrativa, Física e Lógica. 
( ) Administrativa, Física e Programada. 
33 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
10- Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de 
chaves assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade certificadora 
confiável. Uma mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 
1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 
3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições 
anteriores. 
A mensagem de Ana para Bernardo deve ser assinada: 
( ) e criptografada com a chave pública de Ana. 
( ) e criptografada com a chave privada de Bernardo. 
( ) com a chave privada de Bernardo e criptografada com a chave pública de Ana. 
( ) com a chave privada de Ana e criptografada com a chave pública de Bernardo. 
( ) com a chave pública de Ana e criptografada com a chave privada de Bernardo. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
34 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gabarito 
1- Resposta: Segurança das Informações são meios/métodos de se proteger de ataques a informações sigilosas 
de um arquivo ou empresa. Criando planos e implantando soluções para o bloqueio de invasores/ameaças. 
 
2- Gabarito: Testando e mantendo: A organização precisa verificar se suas estratégicas e planos estão 
completos, atualizados e precisos. O GC N deverá ser testado, mantido, analisado criticamente, auditado e 
ainda identificada as oportunidades de melhorias possíveis. Para que às partes interessadas tenham 
confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de 
negócio deverá tornasse parte dos valores da organização, através da sua inclusão na cultura da empresa. 
 
3- Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para 
um usuário, entidade, sistema ou processo autorizado e aprovado. 
 
4- Fragilidade presente ou associada a ativos que manipulam ou processam informações. 
 
5- Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 
 
6- Natural, voluntária e involuntária. 
 
7- Camuflagem das Evidências. 
 
8- Método Quantitativo. 
 
9- Administrativa, Física e Lógica. 
 
10- com a chave privada de Ana e criptografada com a chave pública de Bernardo. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
35 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
Gestão de Segurança da Informação 
1- Algumas formas para se defender das ameaças são: É fundamental ter um programa antivírus em sua 
máquina, além de instalado, é preciso que ele esteja sempre atualizado. A grande maioria dos programas 
atuais faz isso automaticamente, mas não custa nada ficar de olho na data da última atualização de seu 
software. O que são Ameaças para a Gestão de Segurança da Informação? 
Resposta: _________________________________________________________ 
_______________________________________________________________
______________________________________________________________. 
2- Em um sistema de Gestão de Segurança da Informação (SGSI) baseado na norma ISO/IEC 27001, existe uma 
ação denominada ¿análise crítica do SGSI pela direção¿. Explique em que consiste esta ação: 
Resposta: _________________________________________________________ 
_______________________________________________________________
______________________________________________________________. 
3- O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo 
danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual 
conceito? 
( ) Vulnerabilidade. 
( ) Impacto. 
( ) Ameaça. 
( ) Risco. 
( ) Valor. 
4- A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do 
negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar 
a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação 
de Segurança? 
( ) Gestão de Incidentes de Segurança da Informação. 
( ) Gerenciamento das Operações e Comunicações. 
( ) Segurança Física e do Ambiente. 
( ) Gestão da Continuidade do Negócio. 
( ) Controle de Acesso. 
5- Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual 
das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao seguinte conceito: 
"Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas 
algumas pessoas"? 
( ) Valor de troca. 
( ) Valor de restrição. 
( ) Valor de negócio. 
( ) Valor de propriedade. 
( ) Valor de uso. 
 
36 
Exercícios – Gestão de Segurança da Informação (AV e AVS) – Lincoln Kazuhiro Ito 
6- As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode 
dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar 
particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em 
relação a Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade de Hardware: 
( ) Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). 
( ) Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. 
( ) Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 
( ) Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas 
comunicações. 
( ) Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. 
7- Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de 
várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, 
começa com uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um 
banco, uma empresa de cartão de crédito ou um site de comércio eletrônico. 
( ) Phishing. 
( ) Trojans. 
( ) Wabbit. 
( ) Hijackers. 
( ) Exploits. 
8- Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas 
servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga 
ao invés da invasão? 
( ) SQL Injection. 
( ) Shrink wrap code. 
( ) DDos. 
( ) Source Routing. 
( ) Phishing Scan. 
9- Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da 
Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre 
o tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o 
tratamento do risco, exceto: 
( ) Evitar