GABARITO Gestao de Seguraça da Informacao

Prévia do material em texto

1a Questão 
 Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente 
na forma como a tecnologia da informação tem apóiado as operações das empresas, qual das 
opções abaixo não é verdadeira quando tratamos do 
 
 
Pode conter aspectos estratégicos para a Organização que o gerou.
 
É necessário disponibilizá
 Deve ser disponibilizada sempre que solicitada.
 
É fundamental proteger o conhecimento gerado.
 
A informação é vital para o processo de tomada de decisão de qualquer corporação.
 
 
 
Ref.: 201609332607 
 2a Questão 
 No contexto da segurança da informação as
de situações que possam trazer prejuízos. Neste contexto elas podem ser:
1) Físicas 
2) Lógicas 
3) Administrativas 
 Analise as questões abaixo e relacione o tipo corretamente:
( ) Procedimento 
( ) Fechadura 
( ) Firewall 
( ) Cadeado 
( ) Normas 
 
 
2, 1, 2, 1, 3 
 
1, 3, 1, 3, 2 
 
3, 2, 1, 2, 3 
 
2, 2, 1, 3, 1 
 3, 1, 2, 1, 3 
 
 
 
Ref.: 201609854039 
 3a Questão 
 Política de segurança é composta por um conjunto de regras e 
feito para assegurar que as informações e serviços importantes para a empresa recebam a 
proteção conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade. 
Após sua criação ela deve ser:
 
 
Comunicada apenas ao setor de tecnologia da informação de maneria rápida para que 
todos possam se manter focados no trabalho.
 
Comunicada apenas aos usuários que possuem acesso à Internet.
 
Escondida de toda a organização para garantir sua 
disponibilidade. 
 
Comunicada a toda a organização para os usuários de uma forma que seja relevante, 
acessível e compreensível para o público
Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente 
na forma como a tecnologia da informação tem apóiado as operações das empresas, qual das 
opções abaixo não é verdadeira quando tratamos do conceito de ¿Informação¿ ?
Pode conter aspectos estratégicos para a Organização que o gerou. 
É necessário disponibilizá-la para quem tem a real necessidade de conhecê
Deve ser disponibilizada sempre que solicitada. 
proteger o conhecimento gerado. 
A informação é vital para o processo de tomada de decisão de qualquer corporação.
 
No contexto da segurança da informação as proteções são medidas que visam livrar 
de situações que possam trazer prejuízos. Neste contexto elas podem ser: 
Analise as questões abaixo e relacione o tipo corretamente: 
 
Política de segurança é composta por um conjunto de regras e padrões sobre o que deve ser 
feito para assegurar que as informações e serviços importantes para a empresa recebam a 
proteção conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade. 
Após sua criação ela deve ser: 
Comunicada apenas ao setor de tecnologia da informação de maneria rápida para que 
todos possam se manter focados no trabalho. 
Comunicada apenas aos usuários que possuem acesso à Internet. 
Escondida de toda a organização para garantir sua confidencialidade, integridade e 
Comunicada a toda a organização para os usuários de uma forma que seja relevante, 
acessível e compreensível para o público-alvo. 
 Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente 
na forma como a tecnologia da informação tem apóiado as operações das empresas, qual das 
conceito de ¿Informação¿ ? 
la para quem tem a real necessidade de conhecê-la. 
A informação é vital para o processo de tomada de decisão de qualquer corporação. 
 
 são medidas que visam livrar os ativos 
 
 padrões sobre o que deve ser 
feito para assegurar que as informações e serviços importantes para a empresa recebam a 
proteção conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade. 
Comunicada apenas ao setor de tecnologia da informação de maneria rápida para que 
confidencialidade, integridade e 
Comunicada a toda a organização para os usuários de uma forma que seja relevante, 
 
Armazenada em local seguro com acesso apenas por diretores e pessoas 
 
 
 
Ref.: 201609149429 
 4a Questão 
 Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que 
possam impactar no estudo e implementação de um processo de gestão de segurança em uma 
organização? 
 
 
Risco. 
 insegurança 
 
Vulnerabilidade. 
 
Ameaça. 
 Impacto . 
 
 
 
Ref.: 201609146804 
 5a Questão 
 Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem 
como uma das suas etapas a 
opções abaixo não representa um exemplo de Ativo Intangível:
 
 
Marca de um Produto.
 
Qualidade do Serviço. 
 Sistema de Informação.
 
Imagem da Empresa no Mercado.
 
Confiabilidade de um Banco.
 
 
 
Ref.: 201609146808 
 6a Questão 
 Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e 
a forma como a tecnologia da informação apóia as operações e processos das empresas, qual 
das opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente 
responsáveis por este processo?
 
 
O Aumento no consumo de softwares licenciados;
 O crescimento explosivo da internet e das suas respectivas tecnologias e 
 
O uso da internet para sites de relacionamento;
 
O crescimento explosivo da venda de computadores e sistemas livres;
 
O crescimento explosivo dos cursos relacionados com a tecnologia da informação;
 
 
 
Ref.: 201609821776 
 7a Questão 
 Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do 
Armazenada em local seguro com acesso apenas por diretores e pessoas 
 
é considerada como sendo um dos fatores fundamentais e que 
possam impactar no estudo e implementação de um processo de gestão de segurança em uma 
 
Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem 
como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das 
representa um exemplo de Ativo Intangível: 
Marca de um Produto. 
 
Sistema de Informação. 
Imagem da Empresa no Mercado. 
de um Banco. 
 
Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e 
a forma como a tecnologia da informação apóia as operações e processos das empresas, qual 
opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente 
responsáveis por este processo? 
O Aumento no consumo de softwares licenciados; 
O crescimento explosivo da internet e das suas respectivas tecnologias e 
O uso da internet para sites de relacionamento; 
O crescimento explosivo da venda de computadores e sistemas livres; 
O crescimento explosivo dos cursos relacionados com a tecnologia da informação;
 
Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do 
Armazenada em local seguro com acesso apenas por diretores e pessoas autorizadas. 
 
 é considerada como sendo um dos fatores fundamentais e que 
possam impactar no estudo e implementação de um processo de gestão de segurança em uma 
 
 Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem 
atividade de classificação dos ativos da organização. Qual das 
 
 Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e 
a forma como a tecnologia da informação apóia as operações e processos das empresas, qual 
opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente 
O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; 
O crescimento explosivo dos cursosrelacionados com a tecnologia da informação; 
 
 Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do 
pagamento dos funcionários. Neste momento o sistema de Pagamento necessita ser acessado 
pela área de contabilidade, pois caso ocorra uma falha o 
ser realizado. Neste caso qual o pilar da segurança está envolvido:
 
 Confiabilidade 
 
Integridade 
 
Confidencialidade 
 
Legalidade 
 Disponibilidade 
 
 
 
Ref.: 201609149520 
 8a Questão 
 O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas 
revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma 
como a tecnologia da informação apóia as operações das empresas e as atividades
dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental 
para as aplicações de tecnologia da informação nas empresas?
 
 Apoio ao uso da Internet e do ambiente wireless
 
Apoio às Estratégias para 
 
Apoio às Operações 
 
Apoio à tomada de decisão empresarial
 
Apoio aos Processos 
 
1a Questão 
 Considere um sistema no qual existe um conjunto de informações disponível para um 
determinado grupo de usuários denominados 
respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao 
grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada anteriormente 
e não consegue mais acessá-la. Neste cas
este sistema na propriedade relacionada à:
 
 
Confidencialidade 
 Disponibilidade 
 
Integridade 
 
Auditoria 
 
Privacidade 
 
 
 
 
Ref.: 201609149407 
 2a Questão 
 Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um 
mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada 
com o conceito de? 
 
 
Ameaça. 
 
Valor. 
 
Risco. 
 
Impacto. 
 Vulnerabilidade. 
 
pagamento dos funcionários. Neste momento o sistema de Pagamento necessita ser acessado 
pela área de contabilidade, pois caso ocorra uma falha o pagamento dos funcionários não poderá 
ser realizado. Neste caso qual o pilar da segurança está envolvido: 
 
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas 
revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma 
como a tecnologia da informação apóia as operações das empresas e as atividades
dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental 
para as aplicações de tecnologia da informação nas empresas? 
Apoio ao uso da Internet e do ambiente wireless 
Apoio às Estratégias para vantagem competitiva 
Apoio à tomada de decisão empresarial 
Considere um sistema no qual existe um conjunto de informações disponível para um 
determinado grupo de usuários denominados ¿engenheiros¿. Após várias consultas com 
respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao 
grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada anteriormente 
la. Neste caso houve uma falha na segurança da informação para 
este sistema na propriedade relacionada à: 
 
de fatores que impactam na segurança de uma organização. A ausência de um 
mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada 
pagamento dos funcionários. Neste momento o sistema de Pagamento necessita ser acessado 
pagamento dos funcionários não poderá 
 
 O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas 
revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma 
como a tecnologia da informação apóia as operações das empresas e as atividades de trabalho 
dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental 
 Considere um sistema no qual existe um conjunto de informações disponível para um 
¿engenheiros¿. Após várias consultas com 
respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao 
grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada anteriormente 
o houve uma falha na segurança da informação para 
 
 de fatores que impactam na segurança de uma organização. A ausência de um 
mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada 
 
 
 
Ref.: 201609821762 
 3a Questão 
 O propósito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso 
eficiente dos recursos disponíveis (pessoas, materiais, equipamentos, tecnologia, dinheiro e 
informação). Neste contexto podemos a afirmar que ________________________é o elemento 
identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado 
fato ou situação. 
 
 o dado 
 
o registro 
 
o conhecimento 
 
o arquivo 
 
a informação 
 
 
 
 
Ref.: 201609146805 
 4a Questão 
 O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das 
opções abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro 
das empresas e organizações?
 
 Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos;
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais;
 
Habilitar a empresa a alcançar seus objetivos pelo uso 
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos;
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia;
 
 
 
 
Ref.: 201609149511 
 5a Questão 
 O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja 
trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está 
relacionado com qual conceito?
 
 
Valor. 
 
Vulnerabilidade. 
 
Impacto. 
 
Risco. 
 Ameaça. 
 
 
 
 
Ref.: 201609149512 
 6a Questão 
 O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a 
concretização de uma determinada ameaça causará está 
 
 
O propósito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso 
eficiente dos recursos disponíveis (pessoas, materiais, equipamentos, tecnologia, dinheiro e 
contexto podemos a afirmar que ________________________é o elemento 
identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado 
 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das 
pode ser considerada como sendo um dos "Propósitos da Informação" dentro 
organizações? 
Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos;
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais;
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros;
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos;
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia;
 
O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja 
trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está 
relacionado com qual conceito? 
 
O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a 
concretização de uma determinada ameaça causará está relacionado com qual conceito de?
 
 O propósito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso 
eficiente dos recursos disponíveis (pessoas, materiais, equipamentos, tecnologia, dinheiro e 
contexto podemos a afirmar que ________________________é o elemento 
identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinadoO papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das 
pode ser considerada como sendo um dos "Propósitos da Informação" dentro 
Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; 
eficiente dos recursos financeiros; 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; 
 
 O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja 
trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está 
 
 O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a 
relacionado com qual conceito de? 
 Impacto. 
 
Ameaça. 
 
Valor. 
 
Vulnerabilidade. 
 
Risco. 
 
 
 
 
Ref.: 201609315625 
 7a Questão 
 A segurança da informação diz respeito à proteção de determinados dados, com a intenção de 
preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de 
suas propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor 
este princípio: 
 
 
Esta propriedade indica que quaisquer transações 
entidades, sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de 
cancelamento posterior. 
 
Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar 
disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não 
autorizados e aprovados.
 
Esta propriedade indica que os dados e informações não deveriam ser alterados ou 
destruídos de maneira não autorizada e aprovada.
 
Esta propriedade indica a 
sistemas ou processos. 
 
Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser 
sempre possível para um usuário, entidade, sistema ou processo autorizado e apr
 
 
 
 
Ref.: 201609149372 
 8a Questão 
 O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a 
utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções 
abaixo não se aplica ao conceito de "Informação"?
 
 Por si só não conduz a uma compreensão de determinado fato ou situação;
 
É dado trabalhado, que permite ao executivo tomar decisões;
 
É a matéria-prima para o processo administrativo da tomada de 
 
Pode habilitar a empresa a alcançar seus objetivos estratégicos;
 
Possui valor e deve ser protegida;
 
1a Questão 
 Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 
(três) aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança da 
Informação". Quais elementos compõem a tríade da segurança da informação?
 
 
Privacidade, Governabilidade e Confidencialidade
 
Integridade, Legalidade e Confiabilidade
 
Disponibilidade, Privacidade e Segurabilidade
 Confiabilidade, Integridade e Disponibilidade
 
Autenticidade, Legalidade e Privacidade
 
 
 
 
A segurança da informação diz respeito à proteção de determinados dados, com a intenção de 
preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de 
suas propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor 
Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, 
entidades, sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de 
 
Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar 
ou ser divulgados a usuários, entidades, sistemas ou processos não 
autorizados e aprovados. 
Esta propriedade indica que os dados e informações não deveriam ser alterados ou 
destruídos de maneira não autorizada e aprovada. 
Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, 
Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser 
sempre possível para um usuário, entidade, sistema ou processo autorizado e apr
 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a 
utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções 
não se aplica ao conceito de "Informação"? 
Por si só não conduz a uma compreensão de determinado fato ou situação;
É dado trabalhado, que permite ao executivo tomar decisões; 
prima para o processo administrativo da tomada de decisão;
Pode habilitar a empresa a alcançar seus objetivos estratégicos; 
Possui valor e deve ser protegida; 
Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 
segurança da informação, aspectos denominados de "Tríade da Segurança da 
Informação". Quais elementos compõem a tríade da segurança da informação? 
Privacidade, Governabilidade e Confidencialidade 
Integridade, Legalidade e Confiabilidade 
Disponibilidade, Privacidade e Segurabilidade 
Confiabilidade, Integridade e Disponibilidade 
Autenticidade, Legalidade e Privacidade 
 
 A segurança da informação diz respeito à proteção de determinados dados, com a intenção de 
preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de 
suas propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor 
legítimas, efetuadas por usuários, 
entidades, sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de 
Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar 
ou ser divulgados a usuários, entidades, sistemas ou processos não 
Esta propriedade indica que os dados e informações não deveriam ser alterados ou 
possibilidade de identificar e autenticar usuários, entidades, 
Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser 
sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado. 
 
 O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a 
utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções 
Por si só não conduz a uma compreensão de determinado fato ou situação; 
decisão; 
 Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 
segurança da informação, aspectos denominados de "Tríade da Segurança da 
 
 
Ref.: 201609821768 
 2a Questão 
 Foi noticiado na internet que um grande banco teve um 
vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato 
verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o 
tipo de ativo foi envolvido nesta situação?
 
 
Tangível 
 
Passivo 
 
Abstrato 
 Intangível 
 
Ativo 
 
 
 
 
Ref.: 201609149530 
 3a Questão 
 Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados 
através de diversas propriedade e que permitem a organização deste ativos em grupos com 
características semelhantes no que diz respeito às necessidades, estratégias e ferramentas de 
proteção. Qual das opções abaixo define a classificação dos tipos de ativos?
 
 
Material e Tangível. 
 
Tangível e Físico. 
 
Contábil e Não Contábil.
 Tangível e Intangível. 
 
Intangível e Qualitativo.
 
 
 
 
Ref.: 201609146801 
 4a Questão 
 A demanda gradual por armazenamento de conhecimento tem levado à necessidade de 
administração desses dados de forma confiável. Qual das opções abaixo representa melhor a 
seqüencia na evolução do tratamento dos Dados para a sua utilização eficaz nas organizações?
 
 
Dado - Informação - DadosBrutos
 Dado - Informação - Conhecimento
 
Dado - Conhecimento Bruto 
 
Dado - Informação - Informação Bruta
 
Dado - Conhecimento 
 
 
 
 
Ref.: 201609146802 
 5a Questão 
 Com relação à afirmação ¿São as vulnerabilidades que permitem
concretizem¿ podemos dizer que:
 
 
A afirmativa é verdadeira somente para vulnerabilidades físicas.
 
Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes 
vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato 
verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o 
sta situação? 
 
Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados 
propriedade e que permitem a organização deste ativos em grupos com 
características semelhantes no que diz respeito às necessidades, estratégias e ferramentas de 
proteção. Qual das opções abaixo define a classificação dos tipos de ativos? 
Contábil e Não Contábil. 
 
Intangível e Qualitativo. 
 
A demanda gradual por armazenamento de conhecimento tem levado à necessidade de 
administração desses dados de forma confiável. Qual das opções abaixo representa melhor a 
seqüencia na evolução do tratamento dos Dados para a sua utilização eficaz nas organizações?
Dados Brutos 
Conhecimento 
Conhecimento Bruto - Informação Bruta 
Informação Bruta 
Conhecimento - Informação 
 
Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se 
concretizem¿ podemos dizer que: 
A afirmativa é verdadeira somente para vulnerabilidades físicas. 
 
 incidente de segurança e que grandes 
vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato 
verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o 
 
 Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados 
propriedade e que permitem a organização deste ativos em grupos com 
características semelhantes no que diz respeito às necessidades, estratégias e ferramentas de 
 
 A demanda gradual por armazenamento de conhecimento tem levado à necessidade de 
administração desses dados de forma confiável. Qual das opções abaixo representa melhor a 
seqüencia na evolução do tratamento dos Dados para a sua utilização eficaz nas organizações? 
 
 que as ameaças se 
 
A afirmativa é verdadeira somente para vulnerabilidades lógicas.
 
A afirmativa é falsa. 
 
A afirmativa é verdadeira.
 
A afirmativa é verdadeira somente para ameaças identificadas.
 
 
 
 
Ref.: 201609149533 
 6a Questão 
 No contexto da Segurança da Informação, a medida que indica a probabilidade de uma 
determinada ameaça se concretizar, combinada com os 
com qual conceito de? 
 
 Risco. 
 
Valor. 
 
Vulnerabilidade. 
 
Impacto. 
 
Ameaça. 
 
 
 
 
Ref.: 201609149527 
 7a Questão 
 Em uma organização existem diversos tipos de ativos que podem ser 
através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para 
a Segurança da Informação: 
 
 
Tudo aquilo que não manipula dados.
 
Tudo aquilo que é utilizado no Balanço Patrimonial.
 Tudo aquilo que tem valor para a organização.
 
Tudo aquilo que a empresa usa como inventario contábil.
 
Tudo aquilo que não possui valor específico.
 
 
 
 
Ref.: 201609906342 
 8a Questão 
 Trata-se de " [...] uma sequência de símbolos 
______ fotos, figuras, sons gravados e animação." Tal conceito refere
 
 
Nenhuma da alternativas anteriores
 Dado 
 
Informação 
 
Conhecimento 
 
Sistemas de Informação
 
1a Questão 
 Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também 
muitos desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos 
da tecnologia da informação em uma empresa. Neste contexto qual o objetivo fundam
A afirmativa é verdadeira somente para vulnerabilidades lógicas. 
A afirmativa é verdadeira. 
afirmativa é verdadeira somente para ameaças identificadas. 
 
No contexto da Segurança da Informação, a medida que indica a probabilidade de uma 
determinada ameaça se concretizar, combinada com os impactos que ela trará está relacionada 
 
Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados 
através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para 
 
Tudo aquilo que não manipula dados. 
Tudo aquilo que é utilizado no Balanço Patrimonial. 
aquilo que tem valor para a organização. 
Tudo aquilo que a empresa usa como inventario contábil. 
Tudo aquilo que não possui valor específico. 
 
se de " [...] uma sequência de símbolos quantificados ou quantificáveis. [...]" Também são 
______ fotos, figuras, sons gravados e animação." Tal conceito refere-se a: 
Nenhuma da alternativas anteriores 
Sistemas de Informação 
Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também 
muitos desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos 
da tecnologia da informação em uma empresa. Neste contexto qual o objetivo fundam
 
 No contexto da Segurança da Informação, a medida que indica a probabilidade de uma 
impactos que ela trará está relacionada 
 
 organizados e classificados 
através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para 
 
 quantificados ou quantificáveis. [...]" Também são 
 Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também 
muitos desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos 
da tecnologia da informação em uma empresa. Neste contexto qual o objetivo fundamental da 
¿Segurança da Informação¿? 
 
 
Visa principalmente à proteção dos ativos patrimoniais que contêm informações.
 Visa à proteção de todos os ativos de uma empresa que contêm informações.
 
Visa à proteção dos equipamentos de uma empresa que 
 
Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informações.
 
Visam à proteção alguns poucos ativos de uma empresa que contêm informações.
 
 
 
 
Ref.: 201609332607 
 2a Questão 
 No contexto da segurança da informação as
de situações que possam trazer prejuízos. Neste contexto elas podem ser:
1) Físicas 
2) Lógicas 
3) Administrativas 
 Analise as questões abaixo e relacione
( ) Procedimento 
( ) Fechadura 
( ) Firewall 
( ) Cadeado 
( ) Normas 
 
 3, 1, 2, 1, 3 
 
2, 1, 2, 1, 3 
 
2, 2, 1, 3, 1 
 
3, 2, 1, 2, 3 
 
1, 3, 1, 3, 2 
 
 
 
 
Ref.: 201609854039 
 3a Questão 
 Política de segurança é composta por um conjunto de regras e padrões sobre o que deve ser 
feito para assegurar que as informações e serviços importantes para a empresa recebam a 
proteção conveniente, de modo a garantir a sua 
Após sua criação ela deve ser:
 
 
Comunicada apenas ao setor de tecnologia da informação de maneria rápida para que 
todos possam se manter focados no trabalho.
 
Comunicada a toda a organização para 
acessível e compreensível para o público
 
Comunicada apenas aos usuários que possuem acesso à Internet.
 
Escondida de toda a organização para garantir sua confidencialidade, integridade e 
disponibilidade. 
 
Armazenada em local seguro com acesso apenas por diretores e pessoas autorizadas.
 
 
 
 
Visa principalmente à proteção dos ativos patrimoniais que contêm informações.
Visa à proteção de todos os ativos de uma empresa que contêm informações.
Visa à proteção dos equipamentos de uma empresa que contêm informações.
Visa à proteção, como foco na internet da empresa, dos ativos que contêm informações.
Visam à proteção alguns poucos ativos de uma empresa que contêm informações.
 
contexto da segurança da informação as proteções são medidas que visam livrar os ativos 
de situações que possam trazer prejuízos. Neste contexto elas podem ser: 
Analise as questões abaixo e relacione o tipo corretamente: 
 
Política de segurança é composta por um conjunto de regras e padrões sobre o que deve ser 
feito para assegurar que as informações e serviços importantes para a empresa recebam a 
proteção conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade. 
Após sua criação ela deve ser: 
Comunicada apenas ao setor de tecnologia da informação de maneria rápida para que 
todos possam se manter focados no trabalho. 
Comunicada a toda a organização para os usuários de uma forma que seja relevante, 
acessível e compreensível para o público-alvo. 
Comunicada apenas aos usuários que possuem acesso à Internet. 
Escondida de toda a organização para garantir sua confidencialidade, integridade e 
Armazenada em local seguro com acesso apenas por diretores e pessoas autorizadas.
Visa principalmente à proteção dos ativos patrimoniais que contêm informações. 
Visa à proteção de todos os ativos de uma empresa que contêm informações. 
contêm informações. 
Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informações. 
Visam à proteção alguns poucos ativos de uma empresa que contêm informações. 
 
 são medidas que visam livrar os ativos 
 
 Política de segurança é composta por um conjunto de regras e padrões sobre o que deve ser 
feito para assegurar que as informações e serviços importantes para a empresa recebam a 
confidencialidade, integridade e disponibilidade. 
Comunicada apenas ao setor de tecnologia da informação de maneria rápida para que 
os usuários de uma forma que seja relevante, 
Escondida de toda a organização para garantir sua confidencialidade, integridade e 
Armazenada em local seguro com acesso apenas por diretores e pessoas autorizadas. 
 
Ref.: 201609149429 
 4a Questão 
 Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que 
possam impactar no estudo e implementação de um processo de gestão de segurança em uma 
organização? 
 
 
Vulnerabilidade. 
 
Ameaça. 
 
Risco. 
 
Impacto . 
 insegurança 
 
 
 
 
Ref.: 201609146804 
 5a Questão 
 Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem 
como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das 
opções abaixo não representa um exemplo de Ativo Intangível:
 
 
Imagem da Empresa no Mercado.
 
Confiabilidade de um Banco.
 Sistema de Informação.
 
Qualidade do Serviço. 
 
Marca de um Produto.
 
 
 
 
Ref.: 201609146808 
 6a Questão 
 Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e 
a forma como a tecnologia da informação apóia as operações e processos das empresas, qual 
das opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente 
responsáveis por este processo?
 
 
O crescimento explosivo da venda de 
 O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações;
 
O Aumento no consumo de softwares licenciados;
 
O uso da internet para sites de relacionamento;
 
O crescimento explosivo dos 
 
 
 
 
Ref.: 201609821776 
 7a Questão 
 Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do 
pagamento dos funcionários. Neste momento o sistema de 
pela área de contabilidade, pois caso ocorra uma falha o pagamento dos funcionários não poderá 
ser realizado. Neste caso qual o pilar da segurança está envolvido:
 
 
é considerada como sendo um dos fatores fundamentais e que 
impactar no estudo e implementação de um processo de gestão de segurança em uma 
 
segurança e trabalha em projetos de segurança da informação, que tem 
como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das 
representa um exemplo de Ativo Intangível: 
Imagem da Empresa no Mercado. 
Confiabilidade de um Banco. 
Sistema de Informação. 
 
Marca de um Produto. 
 
Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e 
forma como a tecnologia da informação apóia as operações e processos das empresas, qual 
das opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente 
responsáveis por este processo? 
O crescimento explosivo da venda de computadores e sistemas livres; 
O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações;
O Aumento no consumo de softwares licenciados; 
O uso da internet para sites de relacionamento; 
O crescimento explosivo dos cursos relacionados com a tecnologia da informação;
 
Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do 
pagamento dos funcionários. Neste momento o sistema de Pagamento necessita ser acessado 
pela área de contabilidade, pois caso ocorra uma falha o pagamento dos funcionários não poderá 
ser realizado. Neste caso qual o pilar da segurança está envolvido: 
 
 é considerada como sendo um dos fatores fundamentais e que 
impactar no estudo e implementação de um processo de gestão de segurança em uma 
 
 segurança e trabalha em projetos de segurança da informação, que tem 
como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das 
 
 Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e 
forma como a tecnologia da informação apóia as operações e processos das empresas, qual 
das opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente 
O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; 
cursos relacionados com a tecnologia da informação; 
 
 Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do 
Pagamento necessita ser acessado 
pela área de contabilidade, pois caso ocorra uma falha o pagamento dos funcionários não poderá 
 Disponibilidade 
 
Legalidade 
 
Integridade 
 
Confidencialidade 
 
Confiabilidade 
 
 
 
 
Ref.: 201609149520 
 8a Questão 
 O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas 
revolucionou o modo de operação das empresas, o modo como as pessoas 
como a tecnologia da informação apóia as operações das empresas e as atividades de trabalho 
dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental 
para as aplicações de tecnologia da informação nas e
 
 Apoio ao uso da Internet e do ambiente wireless
 
Apoio aos Processos 
 
Apoio às Estratégias para vantagem competitiva
 
Apoio à tomada de decisão empresarial
 
Apoio às Operações 
 
a Questão 
 A informação é um ativo importante
as fases do seu ciclo de vida. Aponte dentre as alternativas abaixo aquela que corresponde ao 
correto ciclo de vida da informação:
 
 
Geração, Edição, Correção, Divulgação e Descarte
 Geração, Transporte, Armazenamento, Manuseio e Descarte.
 
Desarquivamento, Transporte, Edição, Manuseio e Descarte
 
Geração, Transporte, Publicação, Apreciação e Arquivamento.
 
Criação, Edição, Correção, Manuseio e Descarte
 
 
 
 
Ref.: 201609149563 
 2a Questão 
 Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de 
confidencialidade quanto pela de disponibilidade¿. Esta afirmação é:
 
 verdadeira, pois a classificação da informação
 
falsa, pois a informação não deve ser avaliada pela sua disponibilidade.verdadeira desde que seja considerada que todas as informações são publicas.
 
falsa, pois não existe alteração de nível de segurança de 
 
verdadeira se considerarmos que o nível não deve ser mudado.
 
 
 
 
Ref.: 201609149602 
 3a Questão 
 Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de 
 
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas 
revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma 
como a tecnologia da informação apóia as operações das empresas e as atividades de trabalho 
dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental 
para as aplicações de tecnologia da informação nas empresas? 
Apoio ao uso da Internet e do ambiente wireless 
Apoio às Estratégias para vantagem competitiva 
Apoio à tomada de decisão empresarial 
A informação é um ativo importante dentro da organização, e que deve ser protegido em todas 
as fases do seu ciclo de vida. Aponte dentre as alternativas abaixo aquela que corresponde ao 
correto ciclo de vida da informação: 
Geração, Edição, Correção, Divulgação e Descarte 
Geração, Transporte, Armazenamento, Manuseio e Descarte. 
Desarquivamento, Transporte, Edição, Manuseio e Descarte 
Geração, Transporte, Publicação, Apreciação e Arquivamento. 
Criação, Edição, Correção, Manuseio e Descarte 
 
Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de 
confidencialidade quanto pela de disponibilidade¿. Esta afirmação é: 
verdadeira, pois a classificação da informação pode ser sempre reavaliada.
falsa, pois a informação não deve ser avaliada pela sua disponibilidade. 
verdadeira desde que seja considerada que todas as informações são publicas.
falsa, pois não existe alteração de nível de segurança de informação. 
verdadeira se considerarmos que o nível não deve ser mudado. 
 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de 
 
 O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas 
trabalham e a forma 
como a tecnologia da informação apóia as operações das empresas e as atividades de trabalho 
dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental 
 dentro da organização, e que deve ser protegido em todas 
as fases do seu ciclo de vida. Aponte dentre as alternativas abaixo aquela que corresponde ao 
 
 Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de 
pode ser sempre reavaliada. 
verdadeira desde que seja considerada que todas as informações são publicas. 
 
 Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de 
valor . Qual das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao 
seguinte conceito: "Surge no caso de informação secreta ou de interesse comercial, quando o 
uso fica restrito a apenas algumas pessoas"?
 
 
Valor de propriedade. 
 
Valor de troca. 
 
Valor de uso. 
 Valor de restrição. 
 
Valor de negócio. 
 
 
 
 
Ref.: 201609149426 
 4a Questão 
 Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio 
e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios 
considerados como fundamentais para atingir os objetivos da Segurança da In
 
 Confiabilidade, Disponibilidade e Integridade.
 
Confiabilidade, Disponibilidade e Intencionalidade.
 
Confidencialidade, Descrição e Integridade.
 Confidencialidade, Disponibilidade e Integridade.
 
Confidencialidade, Indisponibilidade e Integridade.
 
 
 
 
Ref.: 201609149607 
 5a Questão 
 As vulnerabilidades estão presentes no dia
diversas áreas de uma organização, a todo instante os negócios, seus processo 
tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções 
abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação?
 
 
Impacto presente ou associada a ativos que manipulam
 
Fragilidade presente ou associada a ameaças que manipulam ou processam informações 
. 
 Ameaça presente ou associada a ativos que manipulam ou processam informações.
 Fragilidade presente ou associada a ativos que manipulam ou processam informações .
 
Fragilidade presente ou associada a ativos que exploram ou processam informações .
 
 
 
 
Ref.: 201609149571 
 6a Questão 
 Um fator importante em um processo de classificação da informação é o nível de ameaça 
conhecido que cada informação tem. Quando uma informação é classificada como pública, 
podendo ser utilizada por todos sem causar danos à organização, podemos afirmar que ela 
possui qual nível de segurança?
 
 Irrestrito. 
 
Secreta. 
 
Confidencial. 
 
As opções (a) e (c) estão corretas.
Qual das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao 
seguinte conceito: "Surge no caso de informação secreta ou de interesse comercial, quando o 
uso fica restrito a apenas algumas pessoas"? 
 
 
Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio 
e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios 
considerados como fundamentais para atingir os objetivos da Segurança da Informação:
Confiabilidade, Disponibilidade e Integridade. 
Confiabilidade, Disponibilidade e Intencionalidade. 
Confidencialidade, Descrição e Integridade. 
Confidencialidade, Disponibilidade e Integridade. 
Indisponibilidade e Integridade. 
 
As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais 
diversas áreas de uma organização, a todo instante os negócios, seus processo 
tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções 
abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação?
Impacto presente ou associada a ativos que manipulam ou processam informações.
Fragilidade presente ou associada a ameaças que manipulam ou processam informações 
Ameaça presente ou associada a ativos que manipulam ou processam informações.
Fragilidade presente ou associada a ativos que manipulam ou processam informações .
Fragilidade presente ou associada a ativos que exploram ou processam informações .
 
processo de classificação da informação é o nível de ameaça 
conhecido que cada informação tem. Quando uma informação é classificada como pública, 
podendo ser utilizada por todos sem causar danos à organização, podemos afirmar que ela 
egurança? 
As opções (a) e (c) estão corretas. 
Qual das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao 
seguinte conceito: "Surge no caso de informação secreta ou de interesse comercial, quando o 
 
 Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio 
e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios 
formação: 
 
 dia das empresas e se apresentam nas mais 
diversas áreas de uma organização, a todo instante os negócios, seus processo e ativos físicos, 
tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções 
abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação? 
ou processam informações. 
Fragilidade presente ou associada a ameaças que manipulam ou processam informações 
Ameaça presente ou associada a ativos que manipulam ou processam informações. 
Fragilidade presente ou associada a ativos que manipulam ou processam informações . 
Fragilidade presente ou associada a ativos que exploram ou processam informações . 
 
 processo de classificação da informação é o nívelde ameaça 
conhecido que cada informação tem. Quando uma informação é classificada como pública, 
podendo ser utilizada por todos sem causar danos à organização, podemos afirmar que ela 
 
Interna. 
 
 
 
 
Ref.: 201609821812 
 7a Questão 
 VULNERABILIDADE DE SEGURANÇA O ciclo de vida da informação Suponha que João deseja 
utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que 
está dialogando com seu banco e não com alguém que se faz passar por ele? Neste caso 
estamos falando de: 
 
 
Legalidade 
 
Disponibilidade 
 Autenticação 
 
Confidencialidade 
 
Não-repúdio 
 
 
 
 
Ref.: 201609146809 
 8a Questão 
 O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. 
Nos últimos anos, a demanda gradual por armazenamento de conhecimento 
necessidade de administração desses dados de forma confiável. Neste contexto qual das opções 
abaixo poderá definir melhor o conceito de ¿Dado¿?
 
 
Elemento não identificado e que por si só não conduz a uma compreensão de 
determinado fato ou situação.
 Elemento identificado em sua forma bruta e que por si só não conduz a uma 
compreensão de determinado fato ou situação.
 
Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões 
de fatos ou situações.
 
Elemento identificado em sua forma trabalhada que por si só não conduz a uma 
compreensão de determinado fato ou situação
 
Elemento identificado em sua forma trabalhada e que por si só conduz a várias 
compreensões de fatos e situações.
 
1a Questão 
 Para auxiliar no processo de classificação das informações das organizações, podemos utilizar 
que ferramenta? 
 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade 
e a Probabilidade das Informações.
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a 
Disponibilidade das Informações.
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade 
e a Disponibilidade das Informações.
 
Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações.
 
Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações.
 
 
 
Ref.: 201609906316 
 2a Questão 
 
VULNERABILIDADE DE SEGURANÇA O ciclo de vida da informação Suponha que João deseja 
utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que 
está dialogando com seu banco e não com alguém que se faz passar por ele? Neste caso 
 
O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. 
Nos últimos anos, a demanda gradual por armazenamento de conhecimento tem levado à 
necessidade de administração desses dados de forma confiável. Neste contexto qual das opções 
abaixo poderá definir melhor o conceito de ¿Dado¿? 
Elemento não identificado e que por si só não conduz a uma compreensão de 
ou situação. 
Elemento identificado em sua forma bruta e que por si só não conduz a uma 
compreensão de determinado fato ou situação. 
Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões 
de fatos ou situações. 
Elemento identificado em sua forma trabalhada que por si só não conduz a uma 
compreensão de determinado fato ou situação 
Elemento identificado em sua forma trabalhada e que por si só conduz a várias 
compreensões de fatos e situações. 
Para auxiliar no processo de classificação das informações das organizações, podemos utilizar 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade 
e a Probabilidade das Informações. 
Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a 
Disponibilidade das Informações. 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade 
e a Disponibilidade das Informações. 
Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. 
Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. 
 
 
 VULNERABILIDADE DE SEGURANÇA O ciclo de vida da informação Suponha que João deseja 
utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que 
está dialogando com seu banco e não com alguém que se faz passar por ele? Neste caso 
 
 O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. 
tem levado à 
necessidade de administração desses dados de forma confiável. Neste contexto qual das opções 
Elemento não identificado e que por si só não conduz a uma compreensão de 
Elemento identificado em sua forma bruta e que por si só não conduz a uma 
Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões 
Elemento identificado em sua forma trabalhada que por si só não conduz a uma 
Elemento identificado em sua forma trabalhada e que por si só conduz a várias 
 Para auxiliar no processo de classificação das informações das organizações, podemos utilizar 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade 
Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade 
 
 
 Sobre o conceito: " [...] é restrita aos limites
acarretar em desiquilíbrio operacional e, eventualmente, a perdas financeiras ou de 
confiabilidade perante o cliente externo". Tal conceituação refere
no que tange ao nível de priori
 
 
Informação Interna 
 
Informação secreta 
 
Informação Pública 
 
Nenhuma das alternativas anteriores
 Informação confidencial
 
 
 
Ref.: 201609149609 
 3a Questão 
 Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de 
valor está associado a um contexto. A informação terá valor econômico para uma organização 
se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter 
pouco ou nenhum valor. Segundo os conceitos da Segurança da Informação, onde devemos 
proteger as informações? 
 
 Nos Ativos . 
 
Nas Vulnerabilidades e Ameaças.
 
Nas Vulnerabilidades. 
 
Nas Ameaças. 
 
Nos Riscos. 
 
 
 
Ref.: 201609822190 
 4a Questão 
 Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João 
pode ter certeza de que as informações enviadas por ele ao banco e as enviadas do banco para 
ele são originais, ou seja, não foram alteradas 
falando de: 
 
 
Confidencialidade 
 Integridade 
 
Autenticação 
 
Não-repúdio 
 
Disponibilidade 
 
 
 
Ref.: 201609822198 
 5a Questão 
 Suponha que João deseja utilizar os serviços 
banco pode garantir-se de que, posteriormente, João venha a afirmar que não foi ele quem fez o 
acesso? Neste caso estamos falando de:
 
 Não-repúdio 
 
Disponibilidade 
Sobre o conceito: " [...] é restrita aos limites da empresa e cuja divulgação ou perda pode 
acarretar em desiquilíbrio operacional e, eventualmente, a perdas financeiras ou de 
confiabilidade perante o cliente externo". Tal conceituação refere-se a qual tipo de informação, 
no que tange ao nível de prioridade da mesma, segundo Wadlow (2000)? 
Nenhuma das alternativas anteriores 
Informação confidencial 
 
recurso organizacional, a informação também possui seu conceito de 
valor está associado a um contexto. A informação terá valor econômico para uma organização 
se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter 
o ou nenhum valor. Segundo os conceitos da Segurança da Informação, onde devemos 
Nas Vulnerabilidades e Ameaças. 
 
 
Suponha que João deseja utilizar os serviçosoferecidos via Internet por seu banco. Como João 
pode ter certeza de que as informações enviadas por ele ao banco e as enviadas do banco para 
ele são originais, ou seja, não foram alteradas durante a transmissão? Neste caso estamos 
 
Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como o 
se de que, posteriormente, João venha a afirmar que não foi ele quem fez o 
acesso? Neste caso estamos falando de: 
 da empresa e cuja divulgação ou perda pode 
acarretar em desiquilíbrio operacional e, eventualmente, a perdas financeiras ou de 
se a qual tipo de informação, 
 
 recurso organizacional, a informação também possui seu conceito de 
valor está associado a um contexto. A informação terá valor econômico para uma organização 
se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter 
o ou nenhum valor. Segundo os conceitos da Segurança da Informação, onde devemos 
 
 Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João 
pode ter certeza de que as informações enviadas por ele ao banco e as enviadas do banco para 
durante a transmissão? Neste caso estamos 
 
 oferecidos via Internet por seu banco. Como o 
se de que, posteriormente, João venha a afirmar que não foi ele quem fez o 
 
Integridade 
 
Autenticação 
 
Confidencialidade 
 
 
 
Ref.: 201609149566 
 6a Questão 
 Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no 
ramo financeiro, onde a divulgação de determinadas informações pode causar danos 
ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis 
perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança?
 
 Confidencial. 
 Secreta. 
 
Pública. 
 
Interna. 
 
Irrestrito. 
 
 
 
Ref.: 201609149396 
 7a Questão 
 Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o 
conceito de ¿Ativo de Informação¿?
 
 
São aqueles que produzem, processam, reúnem ou 
 
São aqueles tratam, administram, isolam ou armazenam informações.
 
São aqueles que organizam, processam, publicam ou destroem informações.
 
São aqueles que constroem, dão acesso, transmitem ou armazenam informações.
 São aqueles que produzem, processam, transmitem ou armazenam informações.
 
 
 
Ref.: 201609664100 
 8a Questão 
 Ao elaborar e comunicar uma Política de Segurança da Informação é necessário:
 
I. Usar uma linguagem conhecida.
II. Usar meios adequados aos tipos de mensagens e usuários.
III. Adotar estilo simples e claro.
IV. Respeitar o interlocutor sem superestimá
V. Respeitar a cultura organizacional e a do país a que se destina.
 
 
As alternativas I, II, IV e V 
ser construída considerando
usuários a que se destina.
 
As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma 
que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos 
entendam. 
 
As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única, 
mesmo para uma multinacional, e as caracte
aplicada não podem interferir na sua tradução.
 
Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no 
ramo financeiro, onde a divulgação de determinadas informações pode causar danos 
ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis 
perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança?
 
Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o 
conceito de ¿Ativo de Informação¿? 
São aqueles que produzem, processam, reúnem ou expõem informações.
São aqueles tratam, administram, isolam ou armazenam informações. 
São aqueles que organizam, processam, publicam ou destroem informações.
São aqueles que constroem, dão acesso, transmitem ou armazenam informações.
aqueles que produzem, processam, transmitem ou armazenam informações.
 
Ao elaborar e comunicar uma Política de Segurança da Informação é necessário:
I. Usar uma linguagem conhecida. 
adequados aos tipos de mensagens e usuários. 
III. Adotar estilo simples e claro. 
IV. Respeitar o interlocutor sem superestimá-lo nem subestimá-lo. 
V. Respeitar a cultura organizacional e a do país a que se destina. 
As alternativas I, II, IV e V estão corretas, mas a III está errada porque uma política deve 
ser construída considerando-se uma linguagem tecnológica independentemente dos tipos de 
usuários a que se destina. 
As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário 
que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos 
As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única, 
mesmo para uma multinacional, e as características humanas e legais do país na qual é 
aplicada não podem interferir na sua tradução. 
 
 Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no 
ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros 
ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis 
perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança? 
 
 Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o 
expõem informações. 
São aqueles que organizam, processam, publicam ou destroem informações. 
São aqueles que constroem, dão acesso, transmitem ou armazenam informações. 
aqueles que produzem, processam, transmitem ou armazenam informações. 
 
 Ao elaborar e comunicar uma Política de Segurança da Informação é necessário: 
estão corretas, mas a III está errada porque uma política deve 
se uma linguagem tecnológica independentemente dos tipos de 
política é necessário 
que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos 
As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única, 
rísticas humanas e legais do país na qual é 
 
As alternativas I, III, IV e V estão corretas, mas a II está errada pois este é um item 
irrelevante no contexto da política de segurança.
 
As alternativas I, II, III e V estão corretas, mas a IV está errada porque deve supor
todos os usuários foram selecionados pela empresa, portanto entendem a tecnologia usada.
 
1a Questão 
 Maria trabalha na filial de São Paulo da empresa ABC e necessita 
Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro 
verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. 
Neste caso houve uma falha na segurança da inf
 
 
Auditoria; 
 Integridade; 
 
Não-Repúdio; 
 
Confidencialidade; 
 
Autenticidade; 
 
 
 
 
Ref.: 201609315891 
 2a Questão 
 Valores são o conjunto de características de uma determinada pessoa ou organização, que 
determinam a forma como a pessoa ou organização se comportam e interagem com outros 
indivíduos e com o meio ambiente. A informação terá valor econômico para uma organização se 
ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter 
pouco ou nenhum valor. Qual a melhor definição para o valor de uso de uma informação:
 
 
Reflete o custo substitutivo de um bem.
 
É o quanto o usuário está 
demanda). 
 
Utiliza-se das propriedades inseridas nos dados.
 
Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito 
a apenas algumas pessoas.
 Baseia-se na utilização final que se fará com a informação.
 
 
 
 
Ref.: 2016098250643a Questão 
 A informação terá valor econômico para uma organização se ela gerar lucro ou se for 
alavancadora de vantagem competitiva. Neste sentido devemos 
momentos vividos por esta informação que a colocam em risco. Os momentos que colocam em 
risco esta informação e que chamamos de ciclo de vida são:
(Assinale a alternativa I N C O R R E T A
 
 
Armazenamento. 
 
Descarte. 
 
Manuseio. 
 
Transporte. 
 Consultoria. 
 
 
 
As alternativas I, III, IV e V estão corretas, mas a II está errada pois este é um item 
irrelevante no contexto da política de segurança. 
II, III e V estão corretas, mas a IV está errada porque deve supor
todos os usuários foram selecionados pela empresa, portanto entendem a tecnologia usada.
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para 
Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro 
verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. 
Neste caso houve uma falha na segurança da informação relacionada à: 
 
o conjunto de características de uma determinada pessoa ou organização, que 
determinam a forma como a pessoa ou organização se comportam e interagem com outros 
indivíduos e com o meio ambiente. A informação terá valor econômico para uma organização se 
gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter 
pouco ou nenhum valor. Qual a melhor definição para o valor de uso de uma informação:
Reflete o custo substitutivo de um bem. 
É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e 
se das propriedades inseridas nos dados. 
Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito 
a apenas algumas pessoas. 
utilização final que se fará com a informação. 
 
A informação terá valor econômico para uma organização se ela gerar lucro ou se for 
alavancadora de vantagem competitiva. Neste sentido devemos proteger os diferentes 
momentos vividos por esta informação que a colocam em risco. Os momentos que colocam em 
risco esta informação e que chamamos de ciclo de vida são: 
I N C O R R E T A). 
As alternativas I, III, IV e V estão corretas, mas a II está errada pois este é um item 
II, III e V estão corretas, mas a IV está errada porque deve supor-se que 
todos os usuários foram selecionados pela empresa, portanto entendem a tecnologia usada. 
 transmitir um arquivo para 
Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro 
verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. 
 
 o conjunto de características de uma determinada pessoa ou organização, que 
determinam a forma como a pessoa ou organização se comportam e interagem com outros 
indivíduos e com o meio ambiente. A informação terá valor econômico para uma organização se 
gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter 
pouco ou nenhum valor. Qual a melhor definição para o valor de uso de uma informação: 
disposto a pagar, conforme as leis de mercado (oferta e 
Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito 
 
 A informação terá valor econômico para uma organização se ela gerar lucro ou se for 
proteger os diferentes 
momentos vividos por esta informação que a colocam em risco. Os momentos que colocam em 
 
Ref.: 201609149604 
 4a Questão 
 A informação também possui seu conceito de valor e que está associado a um contexto, 
podendo gerar lucros ou ser alavancadora de vantagem competitiva e até
ou nenhum valor. Qual das opções abaixo apresenta os quatro aspectos importantes para a 
classificação das informações?
 
 
Confidencialidade, integridade, disponibilidade e vulnerabilidade .
 
Confiabilidade, integridade, 
 
Confidencialidade, vulnerabilidade, disponibilidade e valor.
 
Confiabilidade, integridade, risco e valor.
 Confidencialidade, integridade, disponibilidade e valor.
 
 
 
 
Ref.: 201609332610 
 5a Questão 
 O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela 
informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos 
físicos, tecnológicos e humanos fazem uso da informação, sustentando processo
vez, mantêm a operação da empresa. Estes momentos são denominados:
 
 Manuseio, armazenamento, transporte e descarte
 
Iniciação, processamento, utilização e remoção
 
Manuseio, transporte, compartilhamento e remoção
 
Criação, compartilhamento, utilização e descarte
 
Criação, utilização, armazenamento e compartilhamento
 
 
 
 
Ref.: 201609149564 
 6a Questão 
 O advento da internet e a globalização transformaram completamente o mundo que vivemos e 
consequentemente estão revolucionando o modo de operação das empresas . A demanda 
gradual por armazenamento de conhecimento tem levado à necessidade de administração 
desses dados de forma confiável. Por que as organizações devem proteger as suas informações?
 
 
Somente pelos seus valores qualitativos e financeiros.
 
Pelos seus valores internos e qualitativos.
 Pelos seus valores estratégicos e financeiros.
 
Somente pelo seu valor financeiro .
 
Pelos seus valores estratégicos e qualitativos.
 
 
 
 
Ref.: 201609146411 
 7a Questão 
 Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou 
diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade 
de um ataque e/ou sua capacidade de gerar efeitos adversos na organizaç
 
 
A informação também possui seu conceito de valor e que está associado a um contexto, 
podendo gerar lucros ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco 
ou nenhum valor. Qual das opções abaixo apresenta os quatro aspectos importantes para a 
classificação das informações? 
Confidencialidade, integridade, disponibilidade e vulnerabilidade . 
Confiabilidade, integridade, vulnerabilidade e valor. 
Confidencialidade, vulnerabilidade, disponibilidade e valor. 
Confiabilidade, integridade, risco e valor. 
Confidencialidade, integridade, disponibilidade e valor. 
 
O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela 
informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos 
físicos, tecnológicos e humanos fazem uso da informação, sustentando processo
vez, mantêm a operação da empresa. Estes momentos são denominados: 
Manuseio, armazenamento, transporte e descarte 
Iniciação, processamento, utilização e remoção 
Manuseio, transporte, compartilhamento e remoção 
compartilhamento, utilização e descarte 
Criação, utilização, armazenamento e compartilhamento 
 
O advento da internet e a globalização transformaram completamente o mundo que vivemos e 
consequentemente estão revolucionando o modo de operação das empresas . A demanda 
gradual por armazenamento de conhecimento tem levado à necessidade de administração 
esses dados de forma confiável. Por que as organizações devem proteger as suas informações?
Somente pelos seus valores qualitativos e financeiros. 
Pelos seus valores internos e qualitativos. 
Pelos seus valores estratégicos e financeiros. 
Somente pelo seu valor financeiro . 
Pelos seus valores estratégicos e qualitativos. 
 
Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou 
diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade 
de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas:
 
 A informação também possui seu conceito de valor e que está associado a um contexto, 
mesmo possuir poucoou nenhum valor. Qual das opções abaixo apresenta os quatro aspectos importantes para a 
 
 O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela 
informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos 
físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que por sua 
 
 O advento da internet e a globalização transformaram completamente o mundo que vivemos e 
consequentemente estão revolucionando o modo de operação das empresas . A demanda 
gradual por armazenamento de conhecimento tem levado à necessidade de administração 
esses dados de forma confiável. Por que as organizações devem proteger as suas informações? 
 
 Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou 
diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade 
ão são consideradas: 
 
Medidas Corretivas e Reativas
 
Métodos Detectivos 
 Medidas Preventivas 
 
Métodos Quantitativos
 
Medidas Perceptivas 
 
 
 
 
Ref.: 201609149574 
 8a Questão 
 Um fator importante em um processo de classificação da informação é o nível de ameaça 
conhecido que cada informação tem . Quando uma informação é classificada como aquela que a 
organização não tem interesse em divulgar, cujo acesso por parte de indivíduos 
deve ser evitado, porém caso seja disponibilizada não causará danos sérios à organização, 
podemos afirmar que ela possui qual nível de segurança?
 
 
Confidencial. 
 Interna. 
 
Irrestrito. 
 
Secreta. 
 
Pública Confidencial.
 
1a Questão 
 De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três 
princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação 
única de requisitos de negócio e de segurança¿, podemos dizer 
 
 
A afirmação é somente falsa para as empresas privadas.
 
A afirmação é falsa. 
 
A afirmação será somente verdadeira se as empresas forem de um mesmo mercado.
 A afirmação é verdadeira.
 
A afirmação é somente verdadeira para as empresas 
 
 
 
 
Ref.: 201609821804 
 2a Questão 
 A assinatura digital permite comprovar a autenticidade e ______________ de uma informação, 
ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada.
 
 a integridade 
 
o não-repúdio 
 
a legalidade 
 
a disponibilidade 
 
a confidencialidade 
 
 
 
 
Ref.: 201609666235 
 3a Questão 
 Você está analisando um documento e precisa verificar se os dados estão corretos. Qual aspecto 
de segurança da informação sobre confiabilidade você está verificando?
Medidas Corretivas e Reativas 
Métodos Quantitativos 
 
Um fator importante em um processo de classificação da informação é o nível de ameaça 
conhecido que cada informação tem . Quando uma informação é classificada como aquela que a 
organização não tem interesse em divulgar, cujo acesso por parte de indivíduos 
deve ser evitado, porém caso seja disponibilizada não causará danos sérios à organização, 
podemos afirmar que ela possui qual nível de segurança? 
Pública Confidencial. 
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três 
princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação 
única de requisitos de negócio e de segurança¿, podemos dizer que: 
A afirmação é somente falsa para as empresas privadas. 
A afirmação será somente verdadeira se as empresas forem de um mesmo mercado.
A afirmação é verdadeira. 
A afirmação é somente verdadeira para as empresas privadas. 
 
A assinatura digital permite comprovar a autenticidade e ______________ de uma informação, 
ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada.
 
Você está analisando um documento e precisa verificar se os dados estão corretos. Qual aspecto 
segurança da informação sobre confiabilidade você está verificando? 
 
 Um fator importante em um processo de classificação da informação é o nível de ameaça 
conhecido que cada informação tem . Quando uma informação é classificada como aquela que a 
externos a ela 
deve ser evitado, porém caso seja disponibilizada não causará danos sérios à organização, 
 De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três 
princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação 
A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
 
 A assinatura digital permite comprovar a autenticidade e ______________ de uma informação, 
ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. 
 
 Você está analisando um documento e precisa verificar se os dados estão corretos. Qual aspecto 
 
 
Não repúdio 
 Integridade 
 
Legalidade 
 
Privacidade 
 
Disponibilidade 
 
 
 
 
Ref.: 201609149606 
 4a Questão 
 A gestão do ciclo de vida da informação, no 
tornado um elemento fundamental para:
 
 
A gestão de orçamento.
 A gestão dos negócios da organização .
 
A gestão do ciclo da informação interna.
 
A gestão dos usuários. 
 
A gestão da área comercial.
 
 
 
 
Ref.: 201609821810 
 5a Questão 
 A assinatura digital permite comprovar ______________ e Integridade de uma informação, ou 
seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada.
 
 
A Disponibilidade 
 A autenticidade 
 
A Legalidade 
 
O Não-repúdio 
 
A Confidencialidade 
 
 
 
 
Ref.: 201609149550 
 6a Questão 
 Considere um sistema no qual existe um conjunto de informações disponível para um 
determinado grupo de usuários denominados ¿auditores¿. Após várias consultas com respostas 
corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo 
¿auditores¿ acessa o sistema em busca de uma informação já acessada anteriormente e não 
consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este 
sistema na propriedade relacionada à:
 
 
Privacidade; 
 
Integridade; 
 
Não-repúdio; 
 
Confidencialidade; 
 Disponibilidade; 
 
 
 
 
 
A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se 
tornado um elemento fundamental para: 
A gestão de orçamento. 
A gestão dos negócios da organização . 
A gestão do ciclo da informação interna. 
 
A gestão da área comercial. 
 
A assinatura digital permite comprovar ______________ e Integridade de uma informação, ou 
seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada.
 
Considere um sistema no qual existe um conjunto de informações disponível para um 
usuários denominados ¿auditores¿. Após várias consultas com respostas 
corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo 
¿auditores¿ acessa o sistema em busca de uma informação já acessada anteriormente e não 
la. Neste caso houve uma falha na segurança da informação para este 
sistema na propriedade relacionada à: 
 
 contexto da segurança da Informação, tem se 
 
 A assinatura digital permite comprovar ______________ e Integridade de uma informação, ou 
seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. 
 
 Considere um sistema no qual existe um conjunto de informações disponível para um 
usuários denominados ¿auditores¿. Após várias consultas com respostas 
corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo 
¿auditores¿ acessa o sistema em busca de uma informação já acessada anteriormente e não 
la. Neste caso houve uma falha na segurança da informação para esteRef.: 201609149568 
 7a Questão 
 Considere um sistema no qual existe um conjunto de informações disponível para um 
determinado grupo de usuários denominados ¿auditores¿. Um usuário de um outro
grupo ¿estudante¿, tenta acessar o sistema em busca de uma informação que somente o grupo 
¿auditores¿ tem acesso e consegue. Neste caso houve uma falha na segurança da informação 
para este sistema na propriedade relacionada à:
 
 Confidencialidade; 
 Disponibilidade; 
 
Integridade; 
 
Não-Repúdio; 
 
Auditoria; 
 
 
 
 
Ref.: 201609149570 
 8a Questão 
 Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de 
valor . Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor 
atribuído às informações para as organizações quando tratamos de Segurança da Informação?
 
 
Valor de restrição. 
 Valor de orçamento. 
 
Valor de troca. 
 
Valor de propriedade. 
 
Valor de uso. 
 
1a Questão 
 Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser 
exploradas por ameaças, intencionalmente ou não, resultando na quebra de um ou mais 
princípios de segurança da informação. Com base nessa informação, analise os itens a seguir.
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. 
Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros.
II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos 
ativos de informação. 
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos.
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de 
armazenamento. 
Representam vulnerabilidades dos ativos de informação o que consta em:
 
 
I, II, III e IV. 
 I, III e IV, somente. 
 
I e III, somente. 
 
I, II e IV, somente. 
 
II e III, somente. 
 
 
 
 
 2a Questão 
 Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou 
fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o 
maior número de ataques de natureza virtual na sua história feito pel
orquestrado, não só para este site mas para varias instituições governamentais, acredita
 
Considere um sistema no qual existe um conjunto de informações disponível para um 
determinado grupo de usuários denominados ¿auditores¿. Um usuário de um outro
grupo ¿estudante¿, tenta acessar o sistema em busca de uma informação que somente o grupo 
¿auditores¿ tem acesso e consegue. Neste caso houve uma falha na segurança da informação 
para este sistema na propriedade relacionada à: 
 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de 
Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor 
atribuído às informações para as organizações quando tratamos de Segurança da Informação?
 
Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser 
exploradas por ameaças, intencionalmente ou não, resultando na quebra de um ou mais 
informação. Com base nessa informação, analise os itens a seguir.
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. 
Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros.
oas não são vulneráveis, pois não guardam informações relevantes para ataques aos 
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. 
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de 
Representam vulnerabilidades dos ativos de informação o que consta em: 
Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou 
fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o 
maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque 
orquestrado, não só para este site mas para varias instituições governamentais, acredita
 
 Considere um sistema no qual existe um conjunto de informações disponível para um 
determinado grupo de usuários denominados ¿auditores¿. Um usuário de um outro grupo, o 
grupo ¿estudante¿, tenta acessar o sistema em busca de uma informação que somente o grupo 
¿auditores¿ tem acesso e consegue. Neste caso houve uma falha na segurança da informação 
 
 Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de 
Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor 
atribuído às informações para as organizações quando tratamos de Segurança da Informação? 
 Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser 
exploradas por ameaças, intencionalmente ou não, resultando na quebra de um ou mais 
informação. Com base nessa informação, analise os itens a seguir. 
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. 
Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. 
oas não são vulneráveis, pois não guardam informações relevantes para ataques aos 
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de 
 
 Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou 
fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o 
o fail shell". Foi um ataque 
orquestrado, não só para este site mas para varias instituições governamentais, acredita-se que 
foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco 
de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados 
internos e criticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para 
este ataque? 
 
 Vulnerabilidade Software 
 
Vulnerabilidade Comunicação 
 
Vulnerabilidade Mídias 
 
Vulnerabilidade Física 
 
Vulnerabilidade Natural 
 
 
 
 
 3a Questão 
 Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da 
informação, de acordo com a ABNT NBR ISO/IEC 27005. 
 
 
O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível 
de risco. 
 
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo 
previamente estabelecido. 
 
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças 
de origem humana. 
 
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a 
probabilidade de incidentes de segurança. 
 
As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de 
avaliação de riscos. 
 
 
 
 
 4a Questão 
 João trabalha no Datacenter de uma empresa de Tecnologia. Logo assim que chegou no 
ambiente de trabalho, ocorreu um curto circuito e iniciou um incêndio. João correu para buscar 
um extintor contra incêndio e percebeu que ele estava vazio. Neste caso estamos falando de 
vulnerabilidade do tipo: 
 
 
Humana 
 
Natural 
 
Mídia 
 
Comunicação 
 Física 
 
 
 
 
 5a Questão 
 As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas 
vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos 
remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), 
e acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar 
como exemplos de Vulnerabilidade Física: 
 
 
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de 
fabricação. 
 
Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de 
informações, perda de dados ou indisponibilidadede recursos quando necessários. 
 
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta 
de energia). 
 
Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 
 
Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a 
instalação. 
 
 
 
 
 6a Questão 
 Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das 
reuniões entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da 
organização. João na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria na 
intenção que Maria compartilhe as informações confidenciais que possui. Neste caso estamos 
falando de vulnerabilidade do tipo: 
 
 
Física 
 
Comunicação 
 Humana 
 
Natural 
 
Mídia 
 
 
 
 
 7a Questão 
 Relacione a primeira coluna com a segunda: 
A. Área de armazenamento sem proteção 1. ativo 
B. Estações de trabalho 2. vulnerabilidade 
C. Falha de segurança em um software 3. ameaça 
D. Perda de vantagem competitiva 4. impacto 
E. Roubo de informações 5. medida de segurança 
F. Perda de negócios 
G. Não é executado o "logout" ao término do uso dos sistemas 
H. Perda de mercado 
I. Implementar travamento automático da estação após período de tempo sem uso 
J. Servidores 
K. Vazamento de informação 
 
 
 
A2, B1, C3, D3, E3, F4, G2, H4, I5, J1, K4. 
 
A2, B1, C2, D3, E3, F3, G2, H4, I5, J1, K4. 
 
A2, B1, C2, D4, E3, F4, G2, H4, I5, J1, K3. 
 
A2, B1, C3, D3, E4, F4, G2, H4, I5, J1, K3. 
 
A2, B1, C2, D4, E4, F4, G2, H4, I5, J1, K3. 
 
 
 
 
 8a Questão 
 Analise o trecho abaixo: 
"Além da falta de água nas torneiras, a crise hídrica começa agora a afetar também a 
distribuição de energia elétrica no país. Cidades de ao menos sete unidades federativas do Brasil 
e no Distrito Federal registraram cortes severos, na tarde desta segunda-feira." Jornal O DIA, 
em 19/01/2015. 
Neste caso as empresas de Tecnologia que estão localizadas no município apresentam a 
vulnerabilidade do tipo: 
 
 
Mídia 
 Física 
 
Hardware 
 
Comunicação 
 Natural 
 
1a Questão 
 Em setembro de 2012, o sistemas militar que controla armas nucleares, localizado na Casa 
Branca. Os Hackers invadiram através de servidores localizados na China. Neste ataque foi 
utilizada a técnica conhecida como spear-phishing, que é um ataque muito utilizado, e que 
consiste em enviar informações que confundam o usuário e o mesmo execute um código 
malicioso. Essa técnica geralmente ocorre através de envio de e-mails falsos, porém com 
aparência de confiáveis.. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? 
 
 
Vulnerabilidade Física. 
 
Vulnerabilidade Natural. 
 
Vulnerabilidade de Mídias. 
 
Vulnerabilidade de Hardware. 
 Vulnerabilidade Humana. 
 
 
 
 2a Questão 
 As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas 
vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos 
remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), 
e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar 
como exemploS de Vulnerabilidade de Software: 
 
 
Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 
 
Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a 
instalação. 
 
Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de 
informações, perda de dados ou indisponibilidade de recursos quando necessários. 
 
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta 
de energia). 
 
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de 
fabricação. 
 
 
 
 3a Questão 
 Em um processo de análise de riscos em TI, uma avaliação da vulnerabilidade depende das 
avaliações e.... 
 
 
dos controles e do risco residual. 
 
do risco e dos controles. 
 
do ativo e das ameaças. 
 
das ameaças e das contramedidas. 
 
do ativo e dos controles. 
 
 
 
 4a Questão 
 Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas 
tentativas de invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques 
criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não 
identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi 
o tipo de vulnerabilidade utilizada neste caso? 
 
 
Vulnerabilidade Física. 
 
Vulnerabilidade de Mídias. 
 
Vulnerabilidade Natural. 
 
Vulnerabilidade de Comunicação. 
 Vulnerabilidade de Software. 
 
 
 
 5a Questão 
 Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a 
informação, não acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo 
estará evitando como também prevenindo a concretização de possíveis ameaças. Baseado neste 
fato podemos denominar como Vulnerabilidade Física: 
 
 
Acessos não autorizados ou perda de comunicação e a ausência de sistemas de criptografia 
nas comunicações. 
 
Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas. 
 
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta 
de energia). 
 
Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, 
furto, assalto, destruição de propriedades ou de dados, invasões, guerras, etc.). 
 
Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de 
temperatura). 
 
 
 
 6a Questão 
 Maio/2011 - A Sony sofre invasão de hackers com o vazamento de informações de mais de 100 
milhões de usuários da rede online de games PlayStation Network. O ataque à base de dados de 
clientes se realizou desde um servidor de aplicações conectado com ela, e que está depois de 
um servidor site e dois firewalls. Segundo a companhia, os hackers encobriram o ataque como 
uma compra na plataforma online de Sony e depois de passar do servidor site, O ataque, que foi 
considerado um dos maiores, no sentido do vazamento de dados confidenciais, da história 
obrigou a Sony a reconstruir grande parte da sua rede, causado um prejuízo de 171 milhões de 
Dólares. A rede também ficou fora do ar por 28 dias, sendo que alguns serviços menos 
essenciais foram reestabelecidos primeiro e regionalmente antes do reestabelecimento total de 
todos os serviços. . Qual você acha que foi a vulnerabilidade para este ataque? 
 
 
Vulnerabilidade Física 
 
Vulnerabilidade Natural 
 Vulnerabilidade de Software 
 
Vulnerabilidade de Comunicação 
 
Vulnerabilidade de Mídias 
 
 
 
 7a Questão 
 A Turner Broadcasting System (TBS), uma divisão da Time Warner que gerencia canais como 
CNN e Cartoon Network, revelou que sua rede foi infiltrada e atacada pelo worm Rinbot. O 
Rinbot conseguiu entrar na segurança da informação da TBS usando uma falha no antivírus da 
Symantec. A vulnerabilidade foi corrigida. O Rinbot, também chamado de Delbot pela Sophos, é 
um vírus semelhante ao Spybot, Agobot e outros. Ele forma uma rede zumbi com os 
computadores infectados, permitindo que seu criador obtenha controle total do sistema 
infectado. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? 
 
 
Vulnerabilidade Física. 
 
Vulnerabilidade de Mídias. 
 
Vulnerabilidade Natural. 
 
Vulnerabilidade de Comunicação. 
 Vulnerabilidadede Software. 
 
 
 
 8a Questão 
 Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser 
exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de 
segurança da informação. Com base nessa informação, analise os itens a seguir. 
 
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. 
Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. 
 
II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos 
ativos de informação. 
 
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. 
 
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de 
armazenamento. 
 
Representam vulnerabilidades dos ativos de informação o que consta em: 
 
 I, III e IV, somente. 
 
II e III, somente. 
 
I, II e IV, somente. 
 
I, II, III e IV. 
 
I e III, somente. 
 
1a Questão 
 As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que 
operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de 
profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google 
afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de 
ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas 
em Pequim foram invadidas e programadas para reenviar as mensagens para contas 
desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? 
 
 
Vulnerabilidade Comunicação 
 
Vulnerabilidade Física 
 
Vulnerabilidade Mídia 
 
Vulnerabilidade Natural 
 Vulnerabilidade de Software 
 
 
 
 
 2a Questão 
 Ataque a de modems-roteadores ADSL com o uso de uma falha de segurança existente em 
alguns modelos de equipamento. Na prática, o problema permitia que um hacker alterasse o 
modem-roteador para utilizar um determinado serviço fornecido pelo criminoso em vez do 
fornecido pelo provedor, redirecionando internautas para sites falsos. O que os hackers fazem é 
criar uma consulta que terá uma resposta muito grande do servidor de DNS e forjar a origem 
como se ela fosse o site alvo. Ocorre então uma multiplicação: o hacker consegue enviar uma 
consulta pequena, mas gerar para o alvo do ataque um tráfego grande. Qual você acha que foi o 
tipo de vulnerabilidade utilizada neste caso? 
 
 Vulnerabilidade de Hardware. 
 
Vulnerabilidade Natural. 
 
Vulnerabilidade de Comunicação. 
 
Vulnerabilidade Física. 
 
Vulnerabilidade de Mídias. 
 
 
 
 
 3a Questão 
 
Observe a figura acima e complete corretamente a legenda dos desenhos: 
 
 
 
Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios 
 
Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e 
produtos 
 
Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos 
 
Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios 
 
Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios 
 
 
 
 
 4a Questão 
 No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a 
justificativa de defender a liberdade de expressão. Seus integrantes lançaram ataques de 
negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As 
companhias sofreram represália por terem negado hospedagem, bloqueado recursos financeiros 
ou vetado doações para o WikiLeaks, o serviço responsável pelo vazamento de mais de 250 000 
documentos diplomáticos americanos, Qual você acha que seria a vulnerabilidade neste ataque? 
 
 Vulnerabilidade de Software 
 
Vulnerabilidade Natural 
 
Vulnerabilidade Física 
 
Vulnerabilidade de Comunicação 
 
Vulnerabilidade Mídia 
 
 
 
 
 5a Questão 
 Considere um sistema no qual existe um conjunto de informações disponível para um 
determinado grupo de usuários denominados "engenheiros". Após várias consultas com 
respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao 
grupo "engenheiros" acessa o sistema em busca de uma informação já acessada anteriormente 
e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para 
este sistema na propriedade relacionada à: 
 
 
Auditoria 
 Disponibilidade 
 
Confidencialidade 
 
Autenticidade 
 
Integridade 
 
 
 
 
 6a Questão 
 As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas 
vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos 
remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), 
e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar 
como exemploS de Vulnerabilidade de Hardware: 
 
 
Instalações prediais fora dos padrões de engenharia ou salas de servidores mal 
planejadas. 
 
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta 
de energia). 
 
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de 
criptografia nas comunicações. 
 
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de 
fabricação. 
 Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a 
instalação. 
 
 
 
 
 7a Questão 
 O processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e 
levantar dados que possam prever a efetividade desse conjunto de proteções pode ser descrito 
em qual das opções abaixo? 
 
 
Ativo 
 
Analise de Escopo 
 Análise de Vulnerabilidade 
 
Ameaça 
 
Analise de Incidente 
 
 
 
 
 8a Questão 
 Uma pesquisa realizada pelos organizadores da Conferência Infosecurity Europe 2003 com 
trabalhadores de escritórios, que distribuía um brinde (de baixo valor) aos entrevistados, 
revelou que 75% deles se dispunham a revelar suas senhas em resposta a uma pergunta direta 
("Qual é a sua senha?"), e outros 15% responderam a perguntas indiretas que levariam à 
determinação da senha. Esse experimento evidencia a grande vulnerabilidade dos ambientes 
computacionais a ataques de que tipo? 
 
 
Acesso físico. 
 
Cavalos de tróia. 
 Engenharia social. 
 
Vírus de computador. 
 
Back doors. 
 
1a Questão 
 A empresa de segurança cibernética IntelCrawler descobriu no dia 17 de janeiro de 2014 ao 
menos seis ataques em andamento contra varejistas nos Estados Unidos cujos sistemas de 
cartão de crédito estão infectados com o mesmo tipo de software malicioso usado para roubar 
dados de cerca de 40 milhões de cartões de crédito da rede Target. O software malicioso que foi 
usado para tal feito foi o BlackPOS. Qual você acha que foi o tipo de vulnerabilidade utilizada 
neste caso? 
 
 
Vulnerabilidade de Mídias. 
 
Vulnerabilidade Física. 
 Vulnerabilidade Software. 
 
Vulnerabilidade de Comunicação. 
 
Vulnerabilidade Natural. 
 
 
 
 2a Questão 
 Em relação às vulnerabilidades de protocolos e aplicações de acesso remotos, assinale a 
afirmativa correta: 
 
 
É aconselhável colocar servidores de Terminal (Terminal Servers) fora da DMZ (De-
Militarized Zone) para proteger a rede interna da organização. 
 
O Telnet é um padrão para acesso a terminais na Internet, que provê segurança por meio 
da autenticação de usuários, além de manter uma conexão com tráfego criptografado. 
 
Kerberos e SSH (Secure Shell) são soluções para autenticação remota com uso de 
criptografia, eliminando os problemas de soluções tais como o Telnet. 
 
Utilizando ferramentas específicas,é possível explorar a possibilidade de enviar mensagens 
anônimas a partir do IRC, gerando uma espécie de spoofing de mensagens, se o endereço 
IP e a porta IRC da vítima forem conhecidos. 
 
Bots são softwares maliciosos e autônomos que se conectam por meio de um componente 
ICQ. Normalmente, o software usado para gerenciamento destes canais é modifi cado de 
forma que sirvam a mais bots e que não revelem a quantidade de bots associados. 
 
 
 
 3a Questão 
 Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. 
Nesse ataque os hackers direcionavam os usuários que acessavam o site do banco Bradesco 
para uma página falsa e roubavam os dados e as senhas destes usuários. O site teve um 
problema nos servidores de DNS, que traduziram o endereço do Bradesco como sendo de outro 
servidor, no qual havia uma página falsa e eles puderam roubar os dados e as senhas. Qual 
você acha que seria a vulnerabilidade neste ataque? 
 
 
Vulnerabilidade Física 
 
Vulnerabilidade de Comunicação 
 
Vulnerabilidade Mídia 
 
Vulnerabilidade Natural 
 Vulnerabilidade de Software 
 
 
 
 4a Questão 
 Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de 
vulnerabilidade. 
 
 
Firewall mal configurado. 
 
Sistema operacional desatualizado. 
 
Funcionário desonesto. 
 
Rede elétrica instável. 
 
Links sem contingência. 
 
 
 
 5a Questão 
 Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente 
articulado pelas redes, onde a informação, independente do seu formato. Uma vez identificados 
quais os riscos que as informações estão expostas deve-se imediatamente iniciar um processo 
de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando 
falo em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam 
estar guardadas de forma segura. Neste contexto como podemos definir o que são 
vulnerabilidades: 
 
 
Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. 
Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das 
organizações. 
 
Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, 
ladrões, criadores e disseminadores de vírus de computadores, incendiários. 
 
São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, 
terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. 
 
É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de 
dados através da utilização de SQL. 
 
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da 
ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para 
ter acesso não autorizado a computadores ou informações. 
 
 
 
 6a Questão 
 O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste 
contexto o que chamamos de um possível evento que pode ter um efeito perturbador sobre a 
confiabilidade da informação? 
 
 
Risco 
 
Problema 
 Ameaça 
 
Dependência 
 
Vulnerabilidade 
 
 
 
 7a Questão 
 Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de 
um ataque DDoS e foi descrito como o maior já sofrido pela empresa. Como resultado desse 
ataque, quase 18 MILHÕES de blogs, incluindo os que fazem parte do serviço VIP da empresa 
sofreram com problemas nos acessos. Entre eles, estão inclusos o Financial Post, o Nacional Post 
e o TechCrunch. O tamanho ataque alcançou vários Gigabits por segundo e alguns milhões de 
pacotes por segundo. Apesar do ataque ter atingido três data centers do Wordpress, a 
investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. 
Qual você acha que foi a vulnerabilidade para este ataque? 
 
 
Vulnerabilidade Comunicação 
 
Vulnerabilidade Natural 
 Vulnerabilidade Software 
 
Vulnerabilidade Mídias 
 
Vulnerabilidade Física 
 
 
 
 8a Questão 
 As ________________________ por si só não provocam acidentes, pois são elementos 
__________, para que ocorra um incidente de segurança é necessário um agente causador ou 
uma condição favorável que são as ___________________. 
 
 
Ameaças, ativos, vulnerabilidades 
 Ameaças, passivos, vulnerabilidades 
 Vulnerabilidades, passivos, ameaças 
 
Vulnerabilidades, ativos, ameaças 
 
Ameaças, essenciais, vulnerabilidades 
 
1a Questão 
 Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado 
pelo teclado do usuário e é enviado para o invasor ? 
 
 
Spyware 
 
Backdoor 
 
Defacement 
 Keylogger 
 
Phishing 
 
 
 
 
 2a Questão 
 Pedro construiu um software malicioso capaz de se propagar automaticamente pelas redes, 
enviando cópias de si mesmo de computador para computador. Neste caso o programa poderá 
afetar o desempenho da rede e a utilização do computador. Neste caso podemos afirmar que 
Pedro construiu um: 
 
 
Keylogger 
 
Backdoor 
 
Screenlogger 
 
Trojan 
 Worm 
 
 
 
 
 3a Questão 
 Os ataques a computadores são ações praticadas por softwares projetados com intenções 
danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou 
invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou 
software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até 
mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a classificação 
das ameaças podemos definir como ameaças involuntárias: 
 
 
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de 
criptografia nas comunicações. 
 
Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, 
ladrões e etc. 
 
Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser 
ocasionados por falha no treinamento, acidentes, erros ou omissões. 
 
Erros propositais de instalação ou de configuração possibilitando acessos indevidos. 
 
Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, 
terremotos e etc. 
 
 
 
 
 4a Questão 
 Pedro construiu um software malicioso capaz de capturar e armazenar as teclas digitadas pelo 
usuário no teclado do computador. Neste caso podemos afirmar que Pedro construiu um: 
 
 
Trojan 
 
Screenlogger 
 
Backdoor 
 Keylogger 
 
Worm 
 
 
 
 
 5a Questão 
 O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de 
um computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, 
como senhas bancárias e números de cartões de crédito é conhecido como: 
 
 
vírus 
 
Spyware 
 
exploit 
 
backdoor 
 Keylogger 
 
 
 
 
 6a Questão 
 As ameaças aproveitam das falhas de segurança da organização, que é considerado como ponto 
fraco, provocando possíveis danos, perdas e prejuízos aos negócios da empresa. Elas são 
constantes podendo acontecer a qualquer momento. Portanto é necessário conhecer 
profundamente qualquer tipo de vulnerabilidades para que não sejam comprometidos os 
princípios que se refere à segurança da informação. Quanto a sua intencionalidade elas podem 
ser classificadas como: 
 
 
Físicas, Lógicas e Naturais. 
 
Software, Hardware e Firmware. 
 Naturais, Involuntárias e voluntárias. 
 
Humanas, Mídias e Comunicação. 
 
Comunicação, Físicas e Hardware. 
 
 
 
 
 7a Questão 
 Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou 
diminuem o grau de vulnerabilidade do ambiente/ativo/sistema,reduzindo assim a probabilidade 
de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: 
 
 
Métodos Detectivos 
 
Medidas Corretivas e Reativas 
 Medidas Preventivas 
 
Medidas Perceptivas 
 
Métodos Quantitativos 
 
 
 
 
 8a Questão 
 Um programa ou parte de um programa de computador, normalmente malicioso, que se 
propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros 
programas e arquivos de um computador pode ser descrito como sendo um: 
 
 
backdoor 
 vírus 
 
exploit 
 
keylogger 
 
spyware 
 
1a Questão 
 As ameaças são agentes ou condições que causam incidentes que comprometem as informações 
e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as 
possíveis classificações das ameaças quanto a sua intencionalidade? 
 
 Naturais, Involuntárias e Voluntarias. 
 
Naturais, Voluntarias e Obrigatórias. 
 
Naturais, Involuntárias e Obrigatórias. 
 
Ocasionais, Involuntárias e Obrigatórias. 
 
Naturais, Voluntarias e Vulneráveis. 
 
 
 
 
 2a Questão 
 A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual de hackers 
mas na verdade estas pessoas tem amplo conhecimento de programação e noções de rede e 
internet, não desenvolvem vulnerabilidades e não tem intenção de roubar informações, estes na 
verdade são os crackers que invadem sistemas em rede ou computadores para obter vantagens 
muitas vezes financeiras. Verifique nas sentenças abaixo as que estão corretas em relação a 
descrição dos potenciais atacantes: I - Wannabes ou script kiddies São aqueles que acham que 
sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e 
usam 99% dos casos de scripts conhecidos. II- Defacers Pessoa que Interferem com o curso 
normal das centrais telefônicas, realizam chamadas sem ser detectados ou realizam chamadas 
sem tarifação. III- Pheakres São organizados em grupo, usam seus conhecimentos para invadir 
servidores que possuam páginas web e modificá-las. 
 
 
As sentenças I e II estão corretas. 
 Apenas a sentença I está correta. 
 
As sentenças I e III estão corretas. 
 
Todas as sentenças estão corretas. 
 
As sentenças II e III estão corretas. 
 
 
 
 
 3a Questão 
 Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código 
malicioso ou Malware ? 
 
 
trojan horse 
 
active-x 
 
worm 
 
keyloggers 
 
rootkit 
 
 
 
 
 4a Questão 
 As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, 
ladrões e etc. poderão ser classificadas como: 
 
 Destrutivas 
 Voluntárias 
 
Insconsequentes 
 
Tecnológicas. 
 
Globalizadas 
 
 
 
 
 5a Questão 
 Com relação as ameaças aos sistema de informação, assinale a opção correta: 
 
 
Worm é um programa ou parte de um programa de computador, usualmente malicioso, que 
se propaga ao criar cópias de si mesmo e, assim, se torna parte de outros programas e 
arquivos. 
 
Backdoor é um programa que permite o acesso de uma máquina a um invasor de 
computador, pois assegura a acessibilidade a essa máquina em modo remoto, sem utilizar, 
novamente, os métodos de realização da invasão. 
 
Spyware é um programa que permite o controle remoto do agente invasor e é capaz de se 
propagar automaticamente, pois explora vulnerabilidades existentes em programas 
instalados em computadores. 
 
Vírus é um programa que monitora as atividades de um sistema e envia informações 
relativas a essas atividades para terceiros. Um exemplo é o vírus keylogger que é capaz de 
armazenar os caracteres digitados pelo usuário de um computador. 
 
Bot é um programa capaz de se propagar, automaticamente, por rede, pois envia cópias de 
si mesmo de computador para computador, por meio de execução direta ou por exploração 
automática das vulnerabilidades existentes em programas instalados em computadores. 
 
 
 
 
 6a Questão 
 Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? 
 
 
Captura de outras senhas usadas em sites de comércio eletrônico; 
 
Alteração ou destruição de arquivos; 
 
Captura de senhas bancárias e números de cartões de crédito; 
 
Monitoramento de URLs acessadas enquanto o usuário navega na Internet 
 
Alteração da página inicial apresentada no browser do usuário; 
 
 
 
 
 7a Questão 
 Um tipo de software especificamente projetado para apresentar propagandas, seja através de 
um browser, seja através de algum outro programa instalado em um computador pode ser 
descrito como sendo um: 
 
 
Spyware 
 Adware 
 
Active-x 
 
Worm 
 
Java Script 
 
 
 
 
 8a Questão 
 Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las 
quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a 
origem para as ameaças ? 
 
 Interna e Externa 
 
Secreta e Oculta 
 
Secreta e Externa 
 
Conhecida e Externa 
 
Interna e Oculta 
 
1a Questão 
 Os ataques a computadores são ações praticadas por softwares projetados com intenções 
danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou 
invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou 
software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até 
mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a classificação 
das ameaças podemos definir como ameaças involuntárias: 
 
 
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de 
criptografia nas comunicações. 
 
Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser 
ocasionados por falha no treinamento, acidentes, erros ou omissões. 
 
Erros propositais de instalação ou de configuração possibilitando acessos indevidos. 
 
Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, 
terremotos e etc. 
 
Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, 
ladrões e etc. 
 
 
 
 2a Questão 
 O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de 
um computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, 
como senhas bancárias e números de cartões de crédito é conhecido como: 
 
 Keylogger 
 
vírus 
 
backdoor 
 
exploit 
 
Spyware 
 
 
 
 3a Questão 
 As ameaças aproveitam das falhas de segurança da organização, que é considerado como ponto 
fraco, provocando possíveis danos, perdas e prejuízos aos negócios da empresa. Elas são 
constantes podendo acontecer a qualquer momento. Portanto é necessário conhecer 
profundamente qualquer tipo de vulnerabilidades para que não sejam comprometidos os 
princípios que se refere à segurança da informação. Quanto a sua intencionalidade elas podem 
ser classificadas como: 
 
 
Físicas, Lógicas e Naturais. 
 
Software, Hardware e Firmware. 
 Naturais, Involuntárias e voluntárias. 
 
Comunicação, Físicas e Hardware. 
 
Humanas, Mídias e Comunicação. 
 
 
 
 4a Questão 
 Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou 
diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade 
de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: 
 
 Medidas Preventivas 
 
Métodos Detectivos 
 
Medidas Corretivas e Reativas 
 
Métodos Quantitativos 
 
Medidas Perceptivas 
 
 
 
 5a Questão 
 Um programa ou parte de um programa de computador,normalmente malicioso, que se 
propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros 
programas e arquivos de um computador pode ser descrito como sendo um: 
 
 
backdoor 
 
exploit 
 
spyware 
 vírus 
 
keylogger 
 
 
 
 6a Questão 
 Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado 
pelo teclado do usuário e é enviado para o invasor ? 
 
 
Backdoor 
 Keylogger 
 
Defacement 
 
Spyware 
 
Phishing 
 
 
 
 7a Questão 
 Pedro construiu um software malicioso capaz de se propagar automaticamente pelas redes, 
enviando cópias de si mesmo de computador para computador. Neste caso o programa poderá 
afetar o desempenho da rede e a utilização do computador. Neste caso podemos afirmar que 
Pedro construiu um: 
 
 
Trojan 
 
Keylogger 
 
Screenlogger 
 Worm 
 
Backdoor 
 
 
 
 8a Questão 
 Pedro construiu um software malicioso capaz de capturar e armazenar as teclas digitadas pelo 
usuário no teclado do computador. Neste caso podemos afirmar que Pedro construiu um: 
 
 Keylogger 
 
Trojan 
 
Screenlogger 
 
Backdoor 
 
Worm 
 
1a Questão 
 Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. 
Faça a correta correspondência com seus significados dispostos na Coluna II . 
 
Coluna I 
 
1. Spyware 
2. Adware 
3. Engenharia Social 
4. Backdoor 
5. Phishing 
 
Coluna II 
 
( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma 
página clonada ou a um arquivo malicioso. 
( ) Software que insere propagandas em outros programas. 
( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. 
( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. 
( ) Programa espião. 
 
 
A sequencia correta é: 
 
 
5,1,4,3,2. 
 
3, 1, 5, 2, 4. 
 
3, 1, 4, 5, 2. 
 5, 2, 4, 3, 1. 
 3, 2, 4, 5, 1. 
 
 
 
 2a Questão 
 Analise as seguintes afirmativas sobre ameaças à Segurança da Informação: 
 
I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa 
desejado pelo usuário, com o objetivo de obter dados não autorizados do usuário. 
 
II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se 
propagar de um computador para outro. 
 
III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de 
remetentes falsos. 
 
Estão CORRETAS as afirmativas: 
 
 
II apenas 
 I, II e III. 
 
I e II, apenas. 
 
II e III, apenas. 
 
I e III, apenas. 
 
 
 
 3a Questão 
 As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua 
intencionalidade: 
 
 
Voluntária, involuntária e intencional 
 
Intencional, presencial e remota 
 
Natural, presencial e remota 
 
Natural, voluntária e involuntária 
 
Intencional, proposital e natural 
 
 
 
 4a Questão 
 Programa que parece útil mas possui código destrutivo embutido, e além de executar funções 
para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o 
conhecimento do usuário poderá ser melhor descrito como sendo um: 
 
 
exploit 
 
active-x 
 
vírus 
 cavalo de tróia (trojan horse) 
 
worm 
 
 
 
 5a Questão 
 Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo 
falso? 
 
 
Ativo 
 
Passivo 
 
Fraco 
 
Forte 
 
Secreto 
 
 
 
 6a Questão 
 Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem 
impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos 
diferentes para uma mesma ameaça¿. Podemos dizer que é: 
 
 
parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma 
ameaça. 
 
falsa, pois os impactos são sempre iguais para ameaças diferentes. 
 
falsa, pois não depende do ativo afetado. 
 verdadeira 
 
falsa, pois não devemos considerar que diferentes ameaças existem . 
 
 
 
 7a Questão 
 O que são exploits? 
 
 
Consiste no software de computador que recolhe a informação sobre um usuário do 
computador e transmite então esta informação a uma entidade externa sem o conhecimento 
ou o consentimento informado do usuário. 
 
Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar 
por outra máquina, utilizando a técnica de Spoofing. Quando estas solicitações começarem a 
ser respondidas, o sistema alvo será inundado (flood) pelas respostas do servidor. 
 
É um programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e 
necessita deste programa hospedeiro para se propagar, o worm é um programa completo e 
não precisa de outro programa para se propagar. 
 
São programas utilizados para descobrir as senhas dos usuários. Estes programas 
geralmente são muito lentos, pois usam enormes dicionários com o máximo de combinações 
possíveis de senhas e ficam testando uma a uma até achar a senha armazenada no sistema 
 
São pequenos programas escritos geralmente em linguagem C que exploram 
vulnerabilidades conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são 
utilizados por pessoas sem conhecimento da vulnerabilidade. 
 
 
 
 8a Questão 
 Desde o aparecimento do primeiro spam, em 1994, a prática de enviar e-mails não solicitados 
tem sido aplicada com vários objetivos distintos e também utilizando diferentes aplicativos e 
meios de propagação na rede. Os tipos de spam identificados até o momento são: correntes, 
boatos, lendas urbanas, propagandas, ameaças, pornografia, códigos maliciosos, fraudes e 
golpes. 
É muito importante que se saiba como identificar os spams, para poder detectá-los mais 
facilmente e agir adequadamente. Dentre as afirmativas abaixo marque aquelas que podemos 
assinalar como sendo as principais características dos spams: 
I. Apresentam cabeçalho suspeito. 
II. Apresentam no campo Assunto palavras com grafia errada ou suspeita. 
III. Apresentam no campo Assunto textos alarmantes ou vagos. 
IV. Oferecem opção de remoção da lista de divulgação. 
V. Prometem que serão enviados "uma única vez. 
VI. Baseiam-se em leis e regulamentações inexistentes. 
Estão corretas: 
 
 
I, II, III, V e VI 
 Todas as afirmativas estão corretas 
 I, III e V 
 
II, IV e VI 
 
Nenhuma afirmativa está correta 
 
1a Questão 
 Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para 
isso implementou um programa que que irá coletar informações pessoais e financeiros da 
vítima. Para obter sucesso no ataque, Antônio irá induzir o acesso a página fraudulenta através 
do envio de uma mensagem não solicitada. Neste caso estavamos nos referindo ao ataque do 
tipo 
 
 
Shrink wrap code 
 
SQL Injection 
 Phishing Scan 
 
DDos 
 
Source Routing 
 
 
 
 2a Questão 
 Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital 
as empresas se viram obrigadas a pensar na segurança de suas informações para evitar 
ameaças e golpes. Assim, a segurança da informação surgiu para reduzir possíveis ataques aos 
sistemas empresariais e domésticos. Resumindo, a segurança da informação é uma maneira de 
proteger os sistemas de informação contra diversos ataques, ou seja, mantendo documentações 
e arquivos. Podemos citar como ítens básicos, reconhecidos, de um ataque a sistemas de 
informação: 
 
 Engenharia Social, Invasão do sistema e Alteração das informções. 
 
Estudo do atacante, Descoberta de informações e Formalização da invasão. 
 
Scamingde protocolos, Pedido de informações e Invasão do sistema. 
 Levantamento das informações, Exploração das informações e Obtenção do acesso. 
 
Adequação das informações, Pressão sobre os funcionários e Descoberta de senhas. 
 
 
 
 3a Questão 
 Na categoria de software malicioso (malware), assinale a alternativa que identifica uma ameaça 
que consiste no envio de uma mensagem não-solicitada, que procura induzir o destinatário a 
fornecer dados pessoais ou financeiros, tais como senhas, número do CPF e número da conta-
corrente. 
 
 
Vírus de boot 
 
Cavalo de troia 
 
Keylogger (espião de teclado) 
 Phishing 
 
Hoaxes (boatos) 
 
 
 
 4a Questão 
 Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: 
Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas do 
protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir 
quais os serviços estão ativos em cada porta. Qual seria este ataque: 
 
 Port Scanning. 
 
Fraggle. 
 
Packet Sniffing. 
 
Ip Spoofing. 
 
Syn Flooding. 
 
 
 
 5a Questão 
 Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das 
reuniões entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da 
organização. João na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria na 
intenção que Maria compartilhe as informações confidenciais que possui. Neste caso podemos 
afirmar que João está realizando um ataque do tipo: 
 
 
escaneamento 
 
Força bruta 
 Engenharia social 
 
De conhecimento 
 
Conhecimento prévio 
 
 
 
 6a Questão 
 A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu 
através do envio de informações inconsistentes para um campo de entrada de dados da tela 
principal do sistema. Neste caso, foi utilizado um ataque de: 
 
 
Smurf 
 
Fragmentação de pacotes IP 
 Buffer Overflow 
 Fraggle 
 
SQL injection 
 
 
 
 7a Questão 
 Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir 
máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores 
indisponíveis pela sobrecarga ao invés da invasão? 
 
 
Source Routing 
 
SQL Injection 
 
Phishing Scan 
 
Shrink wrap code 
 DDos 
 
 
 
 8a Questão 
 Ataques a sistemas de computação são tipos de crimes virtuais que visam, entre outras coisas, 
obter informações que se encontram em sistemas alheios. Crimes dos quais todos os internautas 
e empresas correm o risco de sofrer, mas que nem sempre sabem exatamente o que são, como 
agem e quais danos podem vir a causar aos computadores e sistemas. Qual dos itens abaixo 
"não" pertence ao ciclo de um ataque: 
 
 
Exploração das informações. 
 
Levantamento das informações. 
 
Camuflagem das evidências. 
 
Obtenção do acesso. 
 Quebra de sigilo bancário. 
 
1a Questão 
 Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas 
foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o 
que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao 
mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma 
forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de 
"Levantamento das informações" nesta receita: 
 
 
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não 
autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na 
utilização indevida dos recursos computacionais. 
 
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de 
reconhecimento. 
 
Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas 
as vulnerabilidades encontradas no sistema. 
 
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também 
protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos 
através de rootkits, backdoors ou trojans. 
 
É uma fase preparatória onde o atacante procura coletar o maior número possível de 
informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. 
 
 
 
 
 2a Questão 
 Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente 
segue para realizar um Ataque de Segurança : 
 
 
Exploração, Levantamento, Obtenção, Manutenção e Camuflagem 
 
Obtenção, Exploração, Levantamento, Manutenção e Camuflagem 
 
Obtenção, Levantamento, Exploração, Manutenção e Camuflagem 
 Levantamento, Obtenção, Exploração, Manutenção e Camuflagem 
 Levantamento, Exploração, Obtenção, Manutenção e Camuflagem 
 
 
 
 
 3a Questão 
 Qual o nome do ataque que tem como objetivo desfigurar a página de um site ? 
 
 
Backdoor 
 
Spam 
 
Defacement 
 
Disfiguration 
 
Worm 
 
 
 
 
 4a Questão 
 Pedro construiu um programa que permite que ele se conecte remotamente a um computador 
depois que o programa for instalado na máquina alvo. Neste caso podemos afirmar que Pedro 
construiu um: 
 
 
Keylogger 
 Backdoor 
 Trojan 
 
Screenlogger 
 
Worm 
 
 
 
 
 5a Questão 
 Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um 
endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que 
estão sendo executados em cada computador ? 
 
 
Ataques de códigos pré-fabricados 
 
Ataque á Aplicação 
 Ataque para Obtenção de Informações 
 
Ataque de Configuração mal feita 
 Ataque aos Sistemas Operacionais 
 
 
 
 
 6a Questão 
 Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital 
as empresas se viram obrigadas a pensar na segurança de suas informações para evitar 
ameaças e golpes. Assim, a segurança da informação surgiu para reduzir possíveis ataques aos 
sistemas empresariais e domésticos. Resumindo, a segurança da informação é uma maneira de 
proteger os sistemas de informação contra diversos ataques, ou seja, mantendo documentações 
e arquivos. Podemos citar como ítens básicos, reconhecidos, de um ataque a sistemas de 
informação: 
 
 
Engenharia Social, Invasão do sistema e Alteração das informções. 
 Levantamento das informações, Exploração das informações e Obtenção do acesso. 
 
Adequação das informações, Pressão sobre os funcionários e Descoberta de senhas. 
 
Estudo do atacante, Descoberta de informações e Formalização da invasão. 
 
Scaming de protocolos, Pedido de informações e Invasão do sistema. 
 
 
 
 
 7a Questão 
 Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma 
será necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para 
alcançar o seu objetivo o invasor tentará levantar estas informações através da escuta das 
portas do protocolo TCP e UDP. Neste caso estamos nos referindo a um ataque do tipo: 
 
 
Three-way-handshake 
 Port Scanning 
 
SYN Flooding 
 
Fragmentação de Pacotes IP 
 
Fraggle 
 
 
 
 
 8a Questão 
 João e Pedro são administrador de sistemas de uma importante empresa e estão instalando uma 
nova versão do sistema operacional Windows para máquinas servidoras. Durante a instalação 
Pedro percebeu que existem uma série de exemplos de códigos já prontos para serem executados, 
facilitando assim o trabalho de administração do sistema. Qual o tipo de ataque que pode 
acontecer nesta situação? 
 
 
Phishing Scan 
 
Smurf 
 
Dumpster Diving ou Trashing 
 Shrink WrapCode 
 
Fraggle 
 
1a Questão 
 
Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir 
posteriormente o acesso à máquina invadida para o atacante ? 
 
 
Spam 
 
0Day 
 
Rootkit 
 
Worm 
 Backdoor 
 
 
 
 
 2a Questão 
 Qual o nome do ataque que tem o intuito de enviar uma quantidade em "massa" de e-mails 
muitas das vezes indesejáveis ? 
 
 
Backdoor 
 Spam 
 
Spyware 
 
Rootkit 
 Adware 
 
 
 
 
 3a Questão 
 Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo 
número de pacotes PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço 
de origem utilizado é o endereço IP da vítima desejada, de forma que todos os hosts do domínio 
de broadcast irão responder para este endereço IP , que foi mascarado pelo atacante. 
 
 
Smurf 
 
Shrink Wrap Code 
 
Phishing Scan 
 Fraggle 
 
Dumpster Diving ou Trashing 
 
 
 
 
 4a Questão 
 João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando derrubar 
à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o 
servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? 
 
 
Port Scanning 
 
Ip Spoofing 
 
Fragmentação de pacotes IP 
 SYN Flooding 
 
Fraggle 
 
 
 
 
 5a Questão 
 A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu 
através do envio de informações inconsistentes para um campo de entrada de dados da tela 
principal do sistema. Neste caso, foi utilizado um ataque de: 
 
 
Fragmentação de pacotes IP 
 
SQL injection 
 
Smurf 
 
Fraggle 
 Buffer Overflow 
 
 
 
 
 6a Questão 
 Ataques a sistemas de computação são tipos de crimes virtuais que visam, entre outras coisas, 
obter informações que se encontram em sistemas alheios. Crimes dos quais todos os internautas 
e empresas correm o risco de sofrer, mas que nem sempre sabem exatamente o que são, como 
agem e quais danos podem vir a causar aos computadores e sistemas. Qual dos itens abaixo 
"não" pertence ao ciclo de um ataque: 
 
 
Obtenção do acesso. 
 
Camuflagem das evidências. 
 Quebra de sigilo bancário. 
 
Exploração das informações. 
 
Levantamento das informações. 
 
 
 
 
 7a Questão 
 Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. 
Normalmente o atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. O ataque que 
tem como objetivo a verificação do lixo em busca de informações que possam facilitar o ataque 
é denominado: 
 
 Dumpster diving ou trashing 
 
SQL Injection 
 
Ataque smurf 
 
IP Spoofing 
 
Packet Sniffing 
 
 
 
 
 8a Questão 
 Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre 
aqueles que são realizados para um ataque de segurança ? 
 
 
O atacante procura coletar o maior número possível de informações sobre o "alvo em 
avaliação". 
 
O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento 
 
O atacante tenta manter seu próprio domínio sobre o sistema 
 
O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua 
permanência. 
 
O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema. 
 
1a Questão 
 Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas 
foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o 
que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao 
mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma 
forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Manutenção 
do acesso" nesta receita: 
 
 
Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas 
as vulnerabilidades encontradas no sistema. 
 
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de 
reconhecimento. 
 
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também 
protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos 
através de rootkits, backdoors ou trojans. 
 
É uma fase preparatória onde o atacante procura coletar o maior número possível de 
informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. 
 
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não 
autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na 
utilização indevida dos recursos computacionais. 
 
 
 
 2a Questão 
 Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? 
 
 
Ativo 
 
Forte 
 
Secreto 
 
Fraco 
 
Passivo 
 
 
 
 3a Questão 
 Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual 
das opções abaixo Não representa um destes tipos de ataques? 
 
 
Ataque de Configuração mal feita 
 
Ataque para Obtenção de Informações 
 
Ataque à Aplicação 
 Ataques Genéricos 
 
Ataque aos Sistemas Operacionais 
 
 
 
 4a Questão 
 Pedro construiu uma página igual a página de uma grande empresa de comércio eletrônico com 
o objetivo de capturar as informações de usuário e senha e número do cartão de crédito de 
usuários desavisados. Para obter sucesso enviou mensagem não solicitada com o intuito de 
induzir o acesso a esta página fraudulenta. Neste caso podemos afirmar que Pedro pratica um 
ataque de: 
 
 Phishing scan 
 
SYN Flooding 
 
IP Spoofing 
 
Força bruta 
 
Buffer Overflow 
 
 
 
 5a Questão 
 Suponha que um hacker esteja planejando um ataque a uma empresa. Inicialmente irá utilizar 
diversos artifícios e mecanismos para se aproximar da empresa ou rede a ser atacada. Como se 
chama este primeiro passo do atacante? 
 
 
Explorando informações. 
 Levantamento das Informações de forma ativa 
 
Acessando a empresa 
 Levantamento das Informações de forma passiva. 
 
Engenharia Social 
 
 
 
 6a Questão 
 Pedro realizou um ataque em um site e conseguiu um acesso privilegiado através do Banco de 
dados. Neste caso podemos afirmar que Pedro realizou um ataque do tipo: 
 
 
IP Spoofing 
 
SYN Flooding 
 Buffer Overflow 
 
Força bruta 
 SQLinjection 
 
 
 
 7a Questão 
 Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: 
Consiste na verificação do lixo em busca de informações que possam facilitar o ataque. É uma 
técnica eficiente e muito utilizada e que pode ser considerada legal visto que não existem leis a 
respeito dos lixos. Neste caso é interessante que as informações críticas da organização 
(planilhas de custos, senhas e outros dados importantes) sejam triturados ou destruídos de 
alguma forma. Qual seria este ataque: 
 
 
Ip Spoofing. 
 
Syn Flooding. 
 
Packet Sniffing. 
 Dumpster diving ou trashing. 
 
Port Scanning. 
 
 
 
 8a Questão 
 Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Se 
dá através do envio de mensagem não solicitada com o intuito de induzir o acesso a páginas 
fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima ou ainda o 
preenchimento de formulários e envio de dados pessoais e financeiros. Normalmente as 
mensagens enviadas se passam por comunicação de uma instituição conhecida, como um 
banco, empresa ou site popular. Qual seria este ataque: 
 
 
Ip Spoofing. 
 
Dumpster diving ou trashing. 
 PhishingScam. 
 
Port Scanning. 
 
Packet Sniffing. 
 
1a Questão 
 Na categoria de software malicioso (malware), assinale a alternativa que identifica uma ameaça 
que consiste no envio de uma mensagem não-solicitada, que procura induzir o destinatário a 
fornecer dados pessoais ou financeiros, tais como senhas, número do CPF e número da conta-
corrente. 
 
 
Vírus de boot 
 
Keylogger (espião de teclado) 
 
Hoaxes (boatos) 
 Phishing 
 
Cavalo de troia 
 
 
 
 
 2a Questão 
 Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência 
de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma 
consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de 
 
 
Smurf 
 
Buffer Overflow 
 SQL Injection 
 
Fragmentação de Pacotes IP 
 
Fraggle 
 
 
 
 
 3a Questão 
 Qual o nome do ataque é foi utilizado em guerras na Grécia, é hoje é aplicado como conceito a 
área computacional. O ataque é enviado um possível programa, mas que na verdade é um 
código malicioso. Qual o nome desse código malicioso ? 
 
 
Spyware 
 Trojan 
 
Adware 
 
Rootkit 
 
Backdoor 
 
 
 
 
 4a Questão 
 Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para 
isso implementou um programa que que irá coletar informações pessoais e financeiros da 
vítima. Para obter sucesso no ataque, Antônio irá induzir o acesso a página fraudulenta através 
do envio de uma mensagem não solicitada. Neste caso estavamos nos referindo ao ataque do 
tipo 
 
 
Source Routing 
 
SQL Injection 
 Phishing Scan 
 
DDos 
 
Shrink wrap code 
 
 
 
 
 5a Questão 
 João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter 
acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) 
para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? 
 
 SYN Flooding 
 
Port Scanning 
 
Fraggle 
 
Fragmentação de pacotes IP 
 
Ip Spoofing 
 
 
 
 
 6a Questão 
 Qual o nome do ataque que tem como objetivo desfigurar a página de um site ? 
 
 
Defacement 
 
Disfiguration 
 
Backdoor 
 
Worm 
 
Spam 
 
 
 
 
 7a Questão 
 Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente 
segue para realizar um Ataque de Segurança : 
 
 Levantamento, Exploração, Obtenção, Manutenção e Camuflagem 
 
Obtenção, Exploração, Levantamento, Manutenção e Camuflagem 
 
Levantamento, Obtenção, Exploração, Manutenção e Camuflagem 
 
Obtenção, Levantamento, Exploração, Manutenção e Camuflagem 
 
Exploração, Levantamento, Obtenção, Manutenção e Camuflagem 
 
 
 
 
 8a Questão 
 Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital as 
empresas se viram obrigadas a pensar na segurança de suas informações para evitar ameaças e 
golpes. Assim, a segurança da informação surgiu para reduzir possíveis ataques aos sistemas 
empresariais e domésticos. Resumindo, a segurança da informação é uma maneira de proteger os 
sistemas de informação contra diversos ataques, ou seja, mantendo documentações e arquivos. 
Podemos citar como ítens básicos, reconhecidos, de um ataque a sistemas de informação: 
 
 
Adequação das informações, Pressão sobre os funcionários e Descoberta de senhas. 
 Levantamento das informações, Exploração das informações e Obtenção do acesso. 
 
Estudo do atacante, Descoberta de informações e Formalização da invasão. 
 
Scaming de protocolos, Pedido de informações e Invasão do sistema. 
 
Engenharia Social, Invasão do sistema e Alteração das informções. 
 
1a Questão 
 Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um 
endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que 
estão sendo executados em cada computador ? 
 
 Ataque para Obtenção de Informações 
 
Ataque de Configuração mal feita 
 
Ataques de códigos pré-fabricados 
 
Ataque aos Sistemas Operacionais 
 
Ataque á Aplicação 
 
 
 
 
 2a Questão 
 Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas 
foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o 
que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao 
mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma 
forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de 
"Levantamento das informações" nesta receita: 
 
 
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não 
autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na 
utilização indevida dos recursos computacionais. 
 
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de 
reconhecimento. 
 
É uma fase preparatória onde o atacante procura coletar o maior número possível de 
informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. 
 
Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas 
as vulnerabilidades encontradas no sistema. 
 
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também 
protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos 
através de rootkits, backdoors ou trojans. 
 
 
 
 
 3a Questão 
 Pedro construiu um programa que permite que ele se conecte remotamente a um computador 
depois que o programa for instalado na máquina alvo. Neste caso podemos afirmar que Pedro 
construiu um: 
 
 
Worm 
 Backdoor 
 
Keylogger 
 
Screenlogger 
 
Trojan 
 
 
 
 
 4a Questão 
 João e Pedro são administrador de sistemas de uma importante empresa e estão instalando uma 
nova versão do sistema operacional Windows para máquinas servidoras. Durante a instalação 
Pedro percebeu que existem uma série de exemplos de códigos já prontos para serem 
executados, facilitando assim o trabalho de administração do sistema. Qual o tipo de ataque que 
pode acontecer nesta situação? 
 
 
Dumpster Diving ou Trashing 
 
Fraggle 
 
Smurf 
 Shrink Wrap Code 
 
Phishing Scan 
 
 
 
 
 5a Questão 
 Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma 
será necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para 
alcançar o seu objetivo o invasor tentará levantar estas informações através da escuta das 
portas do protocolo TCP e UDP. Neste caso estamos nos referindo a um ataque do tipo: 
 
 Port Scanning 
 
Three-way-handshake 
 
Fraggle 
 
Fragmentação de Pacotes IP 
 
SYN Flooding 
 
 
 
 
 6a Questão 
 Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu 
objetivo, qual das opções abaixo Não representa um destes passos? 
 
 
Levantamento das Informações 
 
Exploração das Informações 
 Divulgação do Ataque 
 
Camuflagem das Evidências 
 
Obtenção de Acesso 
 
 
 
 
 7a Questão 
 Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das 
reuniões entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da 
organização. João na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria na 
intenção que Maria compartilhe as informações confidenciais que possui. Neste caso podemos 
afirmar que João está realizando um ataque do tipo: 
 
 
De conhecimento 
 
Conhecimento prévio 
 Engenharia socialescaneamento 
 
Força bruta 
 
 
 
 
 8a Questão 
 Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: 
Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas do 
protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir 
quais os serviços estão ativos em cada porta. Qual seria este ataque: 
 
 
Syn Flooding. 
 
Packet Sniffing. 
 
Fraggle. 
 
Ip Spoofing. 
 Port Scanning. 
 
1a Questão 
 Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta 
especificamente um dos três elementos da tríade da segurança da informação. Qual é o ataque ? 
 
 
Adware 
 Backdoor 
 
Spyware 
 DoS/DDoS 
 
0day 
 
 
 
 
 2a Questão 
 Qual o nome do processo malicioso que tem o intuito de infectar uma ou várias máquinas e 
utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante 
? 
 
 
Spammer 
 
Spyware 
 Bot/Botnet 
 
Phishing 
 
Rootkit 
 
 
 
 
 3a Questão 
 Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma 
barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou 
mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar": 
 
 
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam 
o negócio. 
 
Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar 
as ameaças. 
 
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e 
instrumentem os gestores da segurança na detecção de situações de risco. 
 
Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir 
os acessos, definindo perfis e autorizando permissões. 
 
Esta barreira tem um sentido especial de representar a continuidade do processo de gestão 
de segurança da informação. 
 
 
 
 
 4a Questão 
 Qual o nome do ataque ou maneira de fazer propaganda por meio digitais através de instalação 
de jogos, aplicativos e softwares ? 
 
 
Backdoor 
 Adware 
 
Rootkit 
 
Trojan 
 
Spyware 
 
 
 
 
 5a Questão 
 Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a 
Segurança da Informação: 
 
 
Probabilidade de uma ameaça explorar um incidente. 
 
Probabilidade de um ativo explorar uma vulnerabilidade. 
 
Probabilidade de um incidente ocorrer mais vezes. 
 
Probabilidade de um ativo explorar uma ameaça. 
 
Probabilidade de uma ameaça explorar uma vulnerabilidade 
 
 
 
 
 6a Questão 
 Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma 
barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou 
mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter": 
 
 
Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar 
as ameaças. 
 
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam 
o negócio. 
 
Esta barreira tem um sentido especial de representar a continuidade do processo de gestão 
de segurança da informação. 
 
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e 
instrumentem os gestores da segurança na detecção de situações de risco. 
 
Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir 
os acessos, definindo perfis e autorizando permissões. 
 
 
 
 
 7a Questão 
 Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após 
todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de 
risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco: 
 
 
Risco real; 
 
Risco percebido; 
 
Risco verdadeiro; 
 Risco residual; 
 
Risco tratado; 
 
 
 
 
 8a Questão 
 Vamos analisar cada item. E marque a alternativa correta. 
 
 
O antivírus é uma ferramenta que auxilia no combate às pragas eletrônicas 
 
O driver do HD possibilita a comunicação entre o HD e o computador/sistema operacional; 
 
RSS (Really Simple Syndication) é uma forma de Feed que possibilita ao usuário receber 
dados de diversas fontes, reunindo-os em único local; 
 
O FTP (file transfer protocol) é o protocolo para transferência de arquivos do conjunto 
TCP/IP. Não é o único capaz de transferir arquivos, mas este é especializado e possui vários 
comandos para navegação e transferência de arquivos; 
 
O HTTP (hipertexto transfer protocol)? a ? é o protocolo utilizado pela WEB; 
 
1a Questão 
 Referente ao processo de Gestão de incidentes, qual é a sequência na ordem que compõem o 
processo de gestão de incidentes ? 
 
 
Incidente, impacto, ameaça e recuperação 
 
Ameaça, impacto, incidente e recuperação 
 Ameaça, incidente, impacto e recuperação 
 
Incidente, recuperação, impacto e ameaça 
 
Impacto, ameaça, incidente e recuperação 
 
 
 
 
 2a Questão 
 Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o 
intuito de obter informações pessoais de usuários de sites da Internet ou site corporativo ? 
 
 
Spyware 
 
Defacement 
 
Backdoor 
 
Rootkit 
 Phishing 
 
 
 
 
 3a Questão 
 Qual o nome do ataque que é muito utilizado em espionagem, onde esse é utilizado para obter 
informações confidenciais em lixos ? 
 
 
Backdoor 
 
Adware 
 Dumpster diving 
 
DoS 
 
Defacement 
 
 
 
 
 4a Questão 
 Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a 
Segurança da Informação: 
 
 
Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos 
 
Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos 
 
Tudo aquilo que tem origem para causar algum tipo de erro nos ativos 
 
Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. 
 
Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos 
 
 
 
 
 5a Questão 
 Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. 
Os riscos de operação dos serviços de TI estão diretamente relacionados às operações de 
negócios, e a mitigação destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os 
riscos de TI e de Segurança da Informação significa reconhecer as vulnerabilidades e ameaças 
do ambiente, avaliá-las e propor controles (soluções e ferramentas) que mitiguem os riscos aos 
níveis aceitáveis. Como podemos definir o método "quantitativo" na Análise e Avaliação dos 
Riscos: 
 
 
Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau 
de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um 
ataque e/ou sua capacidade de gerar efeitos adversos na organização. 
 
A métrica é feita através de uma metodologia na qual tentamos quantificar em termos 
numéricos os componentes associados ao risco.O risco é representando em termos de 
possíveis perdas financeiras. 
 
Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos 
componentes do risco que foram levantados. 
 
Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização 
do dano, reduzi-lo ou impedir que se repita. 
 
Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos 
com menções mais subjetivas como alto, médio e baixo. 
 
 
 
 
 6a Questão 
 É essencial determinar o propósito da gestão de riscos a ser implementadana organização, pois 
ele afeta o processo em geral e a definição do contexto em particular. Qual das opções abaixo 
Não representa um destes propósitos? 
 
 Preparação de um plano para aceitar todos os Riscos 
 
Descrição dos requisitos de segurança da informação para um produto. 
 
Preparação de um plano de respostas a incidentes. 
 
Conformidade Legal e a evidência da realização dos procedimentos corretos 
 
Preparação de um plano de continuidade de negócios. 
 
 
 
 
 7a Questão 
 Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: 
 
 
Manter a reputação e imagem da organização 
 
Eliminar os riscos completamente e não precisar mais tratá-los 
 
Melhorar a efetividade das decisões para controlar os riscos 
 
Melhorar a eficácia no controle de riscos 
 
Entender os riscos associados ao negócio e a gestão da informação 
 
 
 
 
 8a Questão 
 Qual das opções abaixo descreve melhor o conceito de "Risco" quando relacionado com a 
Segurança da Informação: 
 
 
Probabilidade de uma ameaça explorar um incidente. 
 
Probabilidade de um ativo explorar uma ameaça. 
 
Probabilidade de um incidente ocorrer mais vezes. 
 
Probabilidade de um ativo explorar uma vulnerabilidade 
 Probabilidade de uma ameaça explorar uma vulnerabilidade 
 
1a Questão 
 Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no momento da 
descoberta ? 
 
 
Adware 
 
Backdoor 
 
Rootkit 
 
Spam 
 
0day 
 
 
 
 
 2a Questão 
 Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de 
gestão de incidentes sequencialmente ? 
 
 
Incidente, impacto, ameaça e recuperação 
 
Ameaça, impacto, incidente e recuperação 
 Ameaça, incidente, impacto e recuperação 
 
Impacto, ameaça, incidente e recuperação 
 
Incidente, recuperação, impacto e ameaça 
 
 
 
 
 3a Questão 
 Qual das opções abaixo representa o tipo de ação quando observamos que o custo de proteção 
contra um determinado risco não vale a pena ser aplicado: 
 
 
Garantia do Risco 
 
Recusar o Risco 
 
Comunicação do Risco 
 Aceitação do Risco 
 
Monitoramento do Risco 
 
 
 
 
 4a Questão 
 Qual o nome da técnica/ataque ou maneira de identificar trafego de dados que "passam" em 
uma rede de computadores ? 
 
 
Spyware 
 
Sniffer 
 
DoS 
 
Monitor 
 
Keylogger 
 
 
 
 
 5a Questão 
 Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra um 
determinado risco está muito além das possibilidades da organização e portanto não vale a pena 
tratá-lo. Neste caso você: 
 
 Aceita o risco 
 
Comunica o risco 
 
Trata o risco a qualquer custo 
 
Ignora o risco 
 
Rejeita o risco 
 
 
 
 
 6a Questão 
 Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área 
de infra-estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos 
sobre a existência de alarmes. Neste caso que tipo de barreira você está implementando? 
 
 
Deter 
 
Detectar 
 
Discriminar 
 
Dificultar 
 Desencorajar 
 
 
 
 
 7a Questão 
 Qual das opções abaixo não representa uma das etapas da Gestão de Risco: 
 
 
Manter e melhorar os controles 
 
Selecionar, implementar e operar controles para tratar os riscos. 
 
Verificar e analisar criticamente os riscos. 
 
Manter e melhorar os riscos identificados nos ativos 
 
Identificar e avaliar os riscos. 
 
 
 
 
 8a Questão 
 Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área 
de Banco de Dados, pretende instalar dispositivos de autenticação de acesso físico, que será 
implementado através de dispositivo biométrico. Neste caso que tipo de barreira você está 
implementando? 
 
 Dificultar 
 
Discriminar 
 
Desencorajar 
 
Deter 
 
Detectar 
 
1a Questão 
 Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de 
Segurança da Informação, para cada um dos riscos identificados, seguindo a análise/avaliação 
de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. As alternativas abaixo 
apresentam possíveis opções para o tratamento do risco, exceto: 
 
 
Identificar os riscos de segurança presentes. 
 
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos. 
 
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à 
política da organização e aos critérios para a aceitação do risco. 
 
Aplicar controles apropriados para reduzir os riscos. 
 
Transferir os riscos associados para outras partes, por exemplo, seguradoras ou 
fornecedores. 
 
 
Explicação: 
Identificar os riscos de segurança presentes.===> FALSO. Não só presentes como 
existentes em qualquer situação. 
Aplicar controles apropriados para reduzir os riscos.===> VERDADE 
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da 
organização e aos critérios para a aceitação do risco.===> VERDADE 
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.===> 
VERDADE 
Transferir os riscos associados para outras partes, por exemplo, seguradoras ou 
fornecedores. ===> VERDADE 
 
 
 
 
 
 
 
 2a Questão 
 Qual das opções abaixo não representa uma das etapas da Gestão de Risco: 
 
 
Manter e melhorar os riscos identificados nos ativos 
 
Selecionar, implementar e operar controles para tratar os riscos. 
 
Identificar e avaliar os riscos. 
 
Verificar e analisar criticamente os riscos. 
 
Manter e melhorar os controles 
 
 
 
 
 3a Questão 
 Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos 
riscos onde são utilizados termos numéricos para os componentes associados ao risco. 
 
 Método Quantitativo 
 
Método Classificatório 
 
Método Numérico. 
 
Método Exploratório. 
 
Método Qualitativo 
 
 
 
 
 4a Questão 
 Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da 
informação, de acordo com a ABNT NBR ISO/IEC 27005. 
 
 
O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível 
de risco. 
 
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a 
probabilidade de incidentes de segurança. 
 
As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de 
avaliação de riscos 
 
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças 
de origem humana. 
 
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo 
previamente estabelecido. 
 
 
Explicação: 
O ativo que tem o maior risco de disponibilidade, ou seja, aquele que tem maior acessibilidade, 
por conseguinte é também aquele que tem a maior possibilidade de risco. 
 
 
 
 
 5a Questão 
 Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: 
 
 
Eliminar os riscos completamente e não precisar mais tratá-los 
 
Entender os riscos associados ao negócio e a gestão da informação 
 
Melhorar a efetividade das decisões para controlar os riscos 
 
Manter a reputação e imagem da organização 
 
Melhorar a eficácia no controle de riscos 
 
 
 
 
 6a Questão 
 Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-
las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ? 
 
 
Phishing 
 Bot/Botnet 
 
Rootkit 
 
Spyware 
 
Spammer 
 
 
 
 
 7aQuestão 
 A segurança da informação deve ser vista como algo estratégico dentro da organização. E a 
organização deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da 
organização criar um plano de gestão voltado para riscos é criando um Plano de Gestão de Risco 
(PGI). O PGI é composto por 4 fases, quais são elas? 
 
 
Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco 
 Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do 
risco 
 
Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; 
Comunicação do impacto 
 
Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; 
Mapeamento de impacto 
 Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do 
risco 
 
 
 
 
 8a Questão 
 Você trabalha na área de gestão de risco da sua organização. Após a fase de análise de risco, você 
irá realizar a etapa de tratamento de risco através da implementação de controles que irão reduzir 
a probabilidade de ameaças se concretizarem , assim como a diminuição do grau de 
vulnerabilidade do ambiente de produção. Neste caso a medida de proteção implementada foi: 
 
 
Métodos detectivos 
 
Medidas corretivas 
 
Medidas de controles 
 Medidas preventivas 
 
Medidas reativas 
 
1a Questão 
 A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 
tem como objetivo apresentar recomendações para: 
 
 
Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas 
de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil 
 
Resolver de forma definitiva os problemas causados por incidentes de segurança da 
informação estabelecendo e executando as ações necessárias para minimizar efeitos 
causados aos dados dos sistemas de informação e comunicação. 
 
Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações 
contratuais e de quaisquer requisitos de segurança da informação. 
 
Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra 
efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se 
for o caso 
 
Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança 
da informação e detectar e resolver incidentes de segurança da informação em tempo hábil 
 
 
 
 
 2a Questão 
 A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não 
autorizado, danos e interferências com as instalações e informações da organização. Neste caso 
a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: 
 
 Segurança dos Ativos. 
 
Controle de Acesso. 
 Segurança Física e do Ambiente. 
 
Segurança em Recursos Humanos. 
 
Gerenciamento das Operações e Comunicações. 
 
 
 
 
 3a Questão 
 Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: 
 
 
Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam 
de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os 
fundamentos sobre os quais toda a família está baseada e se integra. 
 
Os objetivos de controle e os controles desta Norma têm como finalidade ser 
implementados para atender aos requisitos identificados exclusivamente por meio da 
classificação das informações. 
 
A gestão de riscos consiste no processo de seleção e implementação de medidas para 
modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a 
aceitação de riscos. 
 
Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 
categorias principais de segurança e uma seção introdutória que aborda a questões de 
contingência. 
 
Um incidente de segurança da informação é indicado por um evento de segurança da 
informação esperado, que tenha uma grande probabilidade de comprometer as operações 
do negócio e ameaçar a segurança da informação. 
 
 
 
 
 4a Questão 
 Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de 
segurança da informação. Assinale a opção correta. 
 
 
No escopo legal da segurança da informação, há três controles essenciais para uma 
organização: o documento da política de segurança da informação, a atribuição de 
responsabilidades pela segurança da informação e o processamento correto das aplicações. 
 
Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para 
implementação da segurança da informação é efetuada imediatamente após a identificação 
dos fatores de risco. 
 
A cultura organizacional não influencia a adoção de abordagem e estrutura para 
implementação, monitoramento e melhoria da segurança da informação. 
 
Os requisitos de segurança da informação de uma organização são obtidos por três fontes 
principais, sendo a análise de riscos uma delas. 
 
A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias 
adequadas. 
 
 
 
 
 5a Questão 
 Qual das opções abaixo apresenta o documento integrante da Política de Segurança da 
Informação onde são definidas as regras de alto nível que representam os princípios básicos que 
a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta 
direção? 
 
 
Relatório Estratégico. 
 Diretrizes. 
 
Procedimentos. 
 
Normas. 
 
Manuais. 
 
 
 
 
 6a Questão 
 Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: 
 
 
Prevenção de risco 
 
Transferência de risco 
 
Aceitação de risco 
 
Limitação de risco 
 
Suposição de risco 
 
 
 
 
 7a Questão 
 Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família 
ISO/IEC 27000 ? 
 
 
ISO/IEC 27003 
 
ISO/IEC 27004 
 
ISO/IEC 27002 
 
ISO/IEC 27001 
 
ISO/IEC 27005 
 
 
 
 
 8a Questão 
 Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de 
segurança da informação. 
 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
 
Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer 
apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. 
 
A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de 
valor. 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 
1a Questão 
 Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir 
que a organização certificada: 
 
 
implementou um sistema para gerência da segurança da informação de acordo 
fundamentado nos desejos de segurança dos Gerentes de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os 
padrões de segurança de empresas de maior porte reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com os 
desejos de segurança dos funcionários e padrões comerciais. 
 
implementou um sistema para gerência da segurança da informação de acordo com os 
padrões e melhores práticas de segurança reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com os 
padrões nacionais das empresas de TI. 
 
 
 
 
 2a Questão 
 Um Firewall pode ser definido como uma coleção de componentes, colocada entre duas redes, 
que coletivamente possua propriedades que: 
 
 
independentemente da política de segurança adotada,tem como objetivo principal impedir 
a entrada de vírus em um computador, via arquivos anexados a e-mails. 
 
garantem que apenas o tráfego de dentro para fora da rede deve passar por ele. Somente o 
tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele 
deve ser à prova de violação. 
 
garantem que todo o tráfego de dentro para fora da rede, e vice-versa, passe por ele. 
Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, 
finalmente, ele deve ser à prova de violação. 
 
garantem que apenas o tráfego de fora para dentro da rede deve passar por ele. Somente o 
tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele 
deve ser à prova de violação. 
 
garantem que todo o tráfego de dentro para fora da rede e vice-versa deve ser bloqueado, 
independentemente da política de segurança adotada. Todo firewall deve ser à prova de 
violação. 
 
 
 
 
 3a Questão 
 Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados 
por meio de uma: 
 
 
Análise/avaliação sistemática dos incidentes de segurança da informação 
 
Análise/revisão sistemática dos ativos de segurança da informação 
 
Análise/avaliação sistemática dos riscos de segurança da informação 
 
Análise/orientação sistemática dos cenários de segurança da informação 
 
Identificação/avaliação sistemática dos eventos de segurança da informação 
 
 
 
 
 4a Questão 
 Quando devem ser executadas as ações corretivas? 
 
 
Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de 
forma a evitar a sua repetição 
 
Devem ser executadas para garantir as causas da não-conformidade com os requisitos do 
SGSI de forma a evitar a sua repetição 
 
Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI 
de forma a evitar a sua repetição 
 
Devem ser executadas somente para eliminar o resultado da não-conformidade com os 
requisitos do SGSI de forma a evitar a sua repetição 
 
Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do 
SGSI de forma a evitar a sua repetição 
 
 
 
 
 5a Questão 
 Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os 
ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, 
minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da 
informação pode ser caracterizada por três princípios básicos: 
 
 
Integridade, prevenção e proteção 
 
Flexibilidade, agilidade e conformidade 
 
Prevenção, proteção e reação 
 Integridade, confidencialidade e disponibilidade 
 
Autenticidade, originalidade e abrangência 
 
 
 
 
 6a Questão 
 A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da 
informação. De acordo com a Norma, parte importante do processo do estabelecimento da 
segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas 
proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é 
 
 
A base de dados e arquivos 
 
O plano de continuidade do negócio. 
 
O serviço de iluminação 
 
O equipamento de comunicação 
 A reputação da organização 
 
 
 
 
 7a Questão 
 A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das 
atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres 
significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 
está fazendo referência a que tipo de ação de Segurança? 
 
 
Gerenciamento das Operações e Comunicações 
 
Controle de Acesso 
 
Gestão de Incidentes de Segurança da Informação 
 
Segurança Física e do Ambiente. 
 Gestão da Continuidade do Negócio 
 
 
 
 
 8a Questão 
 A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, 
implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e 
princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da 
informação em uma organização. Em relação a Análise de Risco utilizada por esta norma 
complete as lacunas: A partir da análise/avaliação de riscos levando-se em conta os objetivos e 
_________________ globais da organização são identificadas as ameaças aos ativos e as 
vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ____________ e do 
impacto potencial ao negócio. 
 
 estratégias, ameaças 
 
especulações, ameaças 
 
oportunidades, vulnerabilidades 
 
oportunidades, ações 
 
determinações, ações 
 
1a Questão 
 Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem 
aos requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos 
da norma NBR ISO/IEC 27001. 
 
 
 
 2a Questão 
 A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da 
informação. De acordo com a Norma, parte importante do processo do estabelecimento da 
segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas 
proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é: 
 
 
O plano de continuidade do negócio. 
 
A base de dados e arquivos 
 
O serviço de iluminação 
 A reputação da organização 
 
O equipamento de comunicação 
 
 
 
 3a Questão 
 Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a 
sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual 
propriedade de segurança? 
 
 
Confidencialidade; 
 Autenticidade; 
 
Não-Repúdio; 
 
Integridade; 
 
Auditoria; 
 
 
 
 4a Questão 
 A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, 
aos recursos de processamento de dados e aos processos de negócios com base nos requisitos 
de negócio e na segurança da informação levando em consideração as políticas para autorização 
e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que 
tipo de ação de Segurança? 
 
 
Desenvolvimento e Manutenção de Sistemas 
 
Segurança Física e do Ambiente 
 
Segurança em Recursos Humanos 
 
Gerenciamento das Operações e Comunicações 
 Controle de Acesso 
 
 
 
 5a Questão 
 Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
 
 
Para determinar se os objetivos de controle, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos 
da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem 
aos requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
 
 
 6aQuestão 
 Para a implementação de uma regulamentação de monitoramento eletrônico, necessitamos 
atentar a alguns pontos, EXCETO: 
 
 
Os colaboradores poderão utilizar a internet corporativa para atividades lícitas em seu 
horário de descanso. 
 
Os colaboradores estão cientes que podem copiar ferramentas disponibilizados pela 
empresa para uso externo. 
 
Caso ocorra a divulgação de quaisquer informações confidenciais da empresa, estarão 
sujeitos às sanções cabíveis. 
 
Colaboradores deverão estar cientes de que a empresa poderá a vir inspecionar todo o e 
qualquer arquivo trafegado na rede. 
 
Ciência por parte dos colaboradores acerca dos sistemas de monitoramento implantados. 
 
 
 
 7a Questão 
 A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da 
Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, 
implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. 
Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos 
definir como Requisitos do Negócio: 
 
 
É o conjunto de princípios e objetivos para o processamento da informação que uma 
organização tem que desenvolver para apoiar suas operações. 
 
A orientação da organização para assegurar que funcionários, fornecedores e terceiros 
entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a 
reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. 
 
Uma orientação de como a organização deve proceder para estabelecer a política de 
segurança da informação. 
 
São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a 
organização, seus parceiros comerciais, contratados e provedores de serviço tem que 
atender. 
 
Determina que a organização deve prevenir o acesso físico não autorizado, danos e 
interferências com as instalações e informações da organização. 
 
 
 
 8a Questão 
 Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da 
política geral. Normalmente o documento de política geral é dividido em vários documentos. 
Qual das opções abaixo apresenta um conjunto típico destes documentos? 
 
 Diretrizes; Manuais e Procedimentos 
 Diretrizes; Normas e Procedimentos 
 
Manuais; Normas e Procedimentos 
 
Manuais; Normas e Relatórios 
 
Diretrizes; Normas e Relatórios 
 
1a Questão 
 Qual das opções abaixo apresenta o documento integrante da Política de Segurança da 
Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que 
deverão ser implementados para alcançar a estratégia definida nas diretrizes? 
 
 Normas. 
 
Relatório Estratégico. 
 Diretrizes. 
 
Procedimentos. 
 
Manuais. 
 
 
 
 
 2a Questão 
 Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as 
colunas. 
1) Comitê de segurança da informação. 
2) Controle. 
3) Funções de software e hardware. 
4) Deve ser analisado criticamente. 
5) Política. 
( ) Controle. 
( ) Firewall. 
( ) estrutura organizacional. 
( ) Permissão de acesso a um servidor. 
( ) Ampla divulgação das normas de segurança da informação. 
A combinação correta entre as duas colunas é: 
 
 
4-3-1-2-5. 
 
4-3-5-2-1. 
 
2-3-1-5-4. 
 
5-1-4-3-2. 
 
1-2-4-3-5. 
 
 
 
 
 3a Questão 
 Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de 
segurança da informação, através de três fontes principais: 
 
 
Análise de risco, análise do impacto de negócio (BIA), classificação da informação 
 
Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais 
 
Classificação da informação, requisitos de negócio e análise de risco 
 Requisitos de negócio, Análise de risco, Requisitos legais 
 
Análise de vulnerabilidades, requisitos legais e classificação da informação 
 
 
 
 
 4a Questão 
 Dada as assertivas, marque a opção correta: I- O risco tem duas dimensões: (i) probabilidade 
de ocorrência e (ii) impacto sobre o projeto. II- Dificilmente as chances de um risco ser 
totalmente eliminado é real. III- A gestão de riscos só visa o monitoramento para detecção de 
ameaças. 
 
 
Apenas III correta 
 Apenas I correta 
 
Apenas II e III corretas 
 
Apenas I e II corretas 
 
Apenas II correta 
 
 
 
 
 5a Questão 
 Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de 
segurança da informação. 
 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 
A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de 
valor. 
 
Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer 
apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. 
 
 
 
 
 6a Questão 
 De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de 
segurança da informação deve: 
 
 
ser aprovado pela direção, bem como publicado e comunicado para todos que tenham 
contato com a organização. 
 
apresentar uma declaração de aplicabilidade dos controles de segurança da informação, 
além de definir como será o processo de gestão de riscos. 
 
conter uma declaração de comprometimento elaborada por todos aqueles que atuam na 
organização, inclusive pela direção. 
 
revelar informações sensíveis da organização. 
 
conter o registro dos incidentes de segurança da organização. 
 
 
 
 
 7a Questão 
 A gestão da continuidade do negócio está associada, a não permitir a interrupção das atividades 
do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. 
Analise: 
I. Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo 
com os requisitos regulamentares, estatutários, contratuais e do negócio; 
II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de 
forma a assegurar sua permanente atualização e efetividade; 
III. Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos 
para a proteção da informação. 
IV. Devem ser identificados os eventos que podem causar interrupções aos processos de 
negócio, junto à probabilidade e impacto de tais interrupções e as conseqüências para a 
segurança de informação; 
Quanto aos controles relacionados à gestão da continuidade do negócio, marque a opção 
correta: 
 
 
I, II e III, somente 
 
I e III, somente 
 
I, II e IV, somente 
 
I e II, somente 
 II e IV, somente 
 
 
 
 
 8a Questão 
 Os processos que envolvem a gestão de risco são, exceto: 
 
 
Gerenciar as respostas aos riscos 
 
Planejar o gerenciamento de risco 
 
Realizar a análise qualitativa do risco 
 
Realizar a análise quantitativa do risco 
 
Identificar os riscos 
 
1a Questão 
 A utilização de crachás de identificação de colaboradores numa organização está 
fundamentalmente associado a que tipo de proteção ? 
 
 
Correção. 
 
Recuperação . 
 Preventiva. 
 
Limitação. 
 
Reação. 
 
 
 
 2a Questão 
 A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e 
relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e 
iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), 
aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características 
da fase "Plan" é:A organização deve implementar e operar a política, controles, processos e procedimentos 
do SGSI, buscando não burocratizar o funcionamento das áreas. 
 
Deve formular e implementar um plano de tratamento de riscos para identificar a ação de 
gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as 
ações e os recursos do SGSI. 
 
A organização deve implementar procedimentos de monitoração e análise crítica para 
detectar erros nos resultados de processamento, identificar as tentativas e violações de 
segurança bem-sucedida, e os incidente de segurança da informação. 
 
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os 
resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das 
medições e sugestões. 
 
O escopo do SGSI alinhado com as características de negócio, da organização, sua 
localização, ativos e tecnologia. 
 
 
Gabarito Coment. 
 
 
 
 3a Questão 
 Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar 
os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo 
apresenta os tipos proteção possíveis de serem aplicadas às organizações? 
 
 Administrativa, Física e Lógica. 
 
Lógica, Administrativa e Contábil. 
 
Administrativa, Contábil e Física. 
 
Administrativa, Física e Programada. 
 
Lógica, Física e Programada. 
 
 
Gabarito Coment. 
 
 
 
 4a Questão 
 No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada 
como um Problema de Segurança: 
 
 
Uma Operação Incorreta ou Erro do usuário. 
 
A perda de qualquer aspecto de segurança importante para a organização. 
 
Uma tempestade. 
 
Uma inundação. 
 Restrição Financeira. 
 
 
 
 5a Questão 
 A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas 
ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados 
de auditorias, da análise dos eventos monitorados e através de ações: 
 
 Corretivas e Preventivas 
 
Corrigidas e Preventivas 
 
Corretivas e Corrigidas 
 
Corretivas e Correção 
 
Prevenção e Preventivas 
 
 
 
 6a Questão 
 Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e 
prover os recursos necessários para: 
 
 
Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. 
 
Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. 
 
Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade 
podem causar aos ativos. 
 
Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um 
SGSI. 
 
Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e 
fornecedores. 
 
 
Gabarito Coment. 
 
 
 
 7a Questão 
 Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de 
segurança da informação? 
 
 
Procedimentos elaborados. 
 
Suporte técnico. 
 
Conscientização dos usuários. 
 
Auditoria. 
 
Segregação de funções. 
 
 
Gabarito Coment. 
 
 
 
 8a Questão 
 Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela 
norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro 
itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer 
organização: 
 
 Sistema de gestão de segurança da informação, responsabilidade da direção, análise 
crítica do SGSI pela direção e Melhoria do SGSI 
 
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão 
de segurança da informação. 
 
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas 
 
Sistema de gestão de segurança da informação, classificação da informação, auditoria 
internas e análise de risco. 
 
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e 
melhoria do SGSI 
 
1a Questão 
 Sobre a afirmação: ¿irá definir que a informação é originária de quem diz originar, de forma a 
impedir que alterações na mensagem original confundam as partes envolvidas na comunicação. 
E, mesmo que haja alguma alteração na mensagem original, que seja passível de ser 
detectada¿. Podemos afirmar que estamos conceituando: 
 
 
Não-repúdio 
 Integridade 
 
Confiança 
 
Legalidade 
 
Auditoria 
 
 
 
 
 2a Questão 
 A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas 
ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados 
de auditorias, da análise dos eventos monitorados e através de ações: 
 
 Corretivas e Preventivas. 
 
Prevenção e Preventivas. 
 
Corretivas e Corrigidas. 
 
Corretivas e Correção. 
 
Corrigidas e Preventivas. 
 
 
 
 
 3a Questão 
 A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a 
sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de 
mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a 
realização desta análise: 
 
 
A realimentação por parte dos envolvidos no SGSI 
 
Os resultados das auditorias anteriores e análises críticas 
 
A avaliação das ações preventivas e corretivas 
 
Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações 
de risco anteriores 
 A avaliação dos riscos e incidentes desejados 
 
 
Gabarito Coment. 
 
 
 
 
 4a Questão 
 Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a 
norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve 
Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: 
 
 
Aplicar as lições aprendidas de experiências de segurança da informação de outras 
organizações. 
 
Especificar os requisitos necessários para o estabelecimento, implementação, operação, 
monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de 
Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. 
 
Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e 
vulnerabilidades prevalecentes 
 
Definir e medir a eficácia dos controles ou grupos de controle selecionados. 
 
Especificar a forma de medir a eficácia dos controles de modo a produzir resultados 
comparáveis. 
 
 
 
 
 5a Questão 
 A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, 
a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência 
de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ? 
 
 
Preventiva 
 
Reação 
 Desencorajamento 
 
Correção 
 
Limitação 
 
 
 
 
 6a Questão 
 O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, 
industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que 
criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja 
necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da 
Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas 
definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-
Act. Podemos dizer que a empresa deve implementar na etapa Do: 
 
 
A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar 
as açõespreventivas e corretivas necessárias para o bom funcionamento do SGSI. 
 
O escopo do SGSI alinhado com as características de negócio, da organização, sua 
localização, ativos e tecnologia. 
 
A organização deve implementar procedimentos de monitoração e análise crítica para 
detectar erros nos resultados de processamento e identificar os incidentes de segurança da 
informação. 
 
Selecionar objetivos de controle e controles para o tratamento de riscos. 
 
A organização deve implementar e operar a política, controles, processos e procedimentos 
do SGSI, buscando não burocratizar o funcionamento das áreas. 
 
 
Gabarito Coment. 
 
 
 
 
 7a Questão 
 Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que 
define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar 
o objetivo do controle. 
 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar 
criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de 
negócio globais da organização. 
 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a 
todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de 
controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa 
ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas 
responsáveis precisam ser fornecidas. 
 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo 
claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de 
riscos em outras áreas, se necessário. 
 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: 
 
 
I e II. 
 
I e III. 
 II e III. 
 
II. 
 
III e IV. 
 
 
Gabarito Coment. 
 
 
 
 
 8a Questão 
 A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir 
que a organização certificada: 
 
 
implementou um sistema para gerência da segurança da informação de acordo com os 
padrões e melhores práticas de segurança reconhecidas no mercado 
 
implementou um sistema para gerência da segurança da informação de acordo 
fundamentado nos desejos de segurança dos Gerentes de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os 
desejos de segurança dos funcionários e padrões comerciais. 
 
implementou um sistema para gerência da segurança da informação de acordo com os 
padrões de segurança de empresas de maior porte reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com os 
padrões nacionais das empresas de TI. 
 
1a Questão 
 Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar 
os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo 
apresenta os tipos proteção possíveis de serem aplicadas às organizações? 
 
 
Administrativa, Contábil e Física. 
 Administrativa, Física e Lógica. 
 
Lógica, Administrativa e Contábil. 
 
Administrativa, Física e Programada. 
 
Lógica, Física e Programada. 
 
 
Gabarito Coment. 
 
 
 
 
 2a Questão 
 A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir 
que a organização certificada: 
 
 
implementou um sistema para gerência da segurança da informação de acordo com os 
padrões de segurança de empresas de maior porte reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo 
fundamentado nos desejos de segurança dos Gerentes de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os 
desejos de segurança dos funcionários e padrões comerciais. 
 
implementou um sistema para gerência da segurança da informação de acordo com os 
padrões e melhores práticas de segurança reconhecidas no mercado 
 
implementou um sistema para gerência da segurança da informação de acordo com os 
padrões nacionais das empresas de TI. 
 
 
 
 
 3a Questão 
 A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas 
ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados 
de auditorias, da análise dos eventos monitorados e através de ações: 
 
 Corretivas e Preventivas. 
 
Corrigidas e Preventivas. 
 
Corretivas e Corrigidas. 
 
Prevenção e Preventivas. 
 
Corretivas e Correção. 
 
 
 
 
 4a Questão 
 A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a 
sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de 
mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a 
realização desta análise: 
 
 
Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações 
de risco anteriores 
 
Os resultados das auditorias anteriores e análises críticas 
 
A realimentação por parte dos envolvidos no SGSI 
 
A avaliação das ações preventivas e corretivas 
 A avaliação dos riscos e incidentes desejados 
 
 
Gabarito Coment. 
 
 
 
 
 5a Questão 
 A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, 
a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência 
de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ? 
 
 
Preventiva 
 
Correção 
 
Reação 
 
Limitação 
 Desencorajamento 
 
 
 
 
 6a Questão 
 
O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, 
industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que 
criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja 
necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da 
Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas 
definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-
Act. Podemos dizer que a empresa deve implementar na etapa Do: 
 
 
A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar 
as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. 
 
A organização deve implementar e operar a política, controles, processos e procedimentos 
do SGSI, buscando não burocratizar o funcionamento das áreas. 
 
Selecionar objetivos de controle e controles para o tratamento de riscos. 
 
A organização deve implementar procedimentos de monitoração e análise crítica para 
detectar erros nos resultados de processamento e identificar os incidentes de segurança da 
informação. 
 
O escopo do SGSI alinhado com as características de negócio, da organização, sua 
localização, ativos e tecnologia. 
 
 
Gabarito Coment. 
 
 
 
 
 7a Questão 
 Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que 
define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar 
o objetivo do controle. 
 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar 
criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de 
negócio globais da organização. 
 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a 
todas as organizações, independentemente detipo, tamanho e natureza. Qualquer exclusão de 
controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa 
ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas 
responsáveis precisam ser fornecidas. 
 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo 
claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de 
riscos em outras áreas, se necessário. 
 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: 
 
 
II. 
 
I e II. 
 
III e IV. 
 II e III. 
 
I e III. 
 
 
Gabarito Coment. 
 
 
 
 
 8a Questão 
 Sobre a afirmação: ¿irá definir que a informação é originária de quem diz originar, de forma a 
impedir que alterações na mensagem original confundam as partes envolvidas na comunicação. 
E, mesmo que haja alguma alteração na mensagem original, que seja passível de ser 
detectada¿. Podemos afirmar que estamos conceituando: 
 
 Integridade 
 
Confiança 
 
Auditoria 
 
Não-repúdio 
 
Legalidade 
 
1a Questão 
 Sobre a afirmação: ¿irá definir que a informação é originária de quem diz originar, de forma a 
impedir que alterações na mensagem original confundam as partes envolvidas na comunicação. 
E, mesmo que haja alguma alteração na mensagem original, que seja passível de ser 
detectada¿. Podemos afirmar que estamos conceituando: 
 
 
Não-repúdio 
 
Confiança 
 
Auditoria 
 
Legalidade 
 Integridade 
 
 
 
 2a Questão 
 Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a 
norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve 
Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: 
 
 Especificar os requisitos necessários para o estabelecimento, implementação, operação, 
monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de 
Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da 
organização. 
 
Aplicar as lições aprendidas de experiências de segurança da informação de outras 
organizações. 
 
Definir e medir a eficácia dos controles ou grupos de controle selecionados. 
 
Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e 
vulnerabilidades prevalecentes 
 
Especificar a forma de medir a eficácia dos controles de modo a produzir resultados 
comparáveis. 
 
 
 
 3a Questão 
 Não se pode dizer que há segurança da informação, a menos que ela seja controladae 
gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis 
aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de 
ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, 
infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em 
perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- 
SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente 
definir: 
 
 
A política do BIA. 
 
A politica de gestão de continuidade de negócio. 
 
A abordagem de análise/avaliação das vulnerabilidades da organização. 
 
Identificar e avaliar as opções para o tratamento das vulnerabilidades. 
 Identificar, Analisar e avaliar os riscos. 
 
 
 
 4a Questão 
 A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e 
relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e 
iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), 
aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características 
da fase "Plan" é: 
 
 
O escopo do SGSI alinhado com as características de negócio, da organização, sua 
localização, ativos e tecnologia. 
 
A organização deve implementar e operar a política, controles, processos e procedimentos 
do SGSI, buscando não burocratizar o funcionamento das áreas. 
 
A organização deve implementar procedimentos de monitoração e análise crítica para 
detectar erros nos resultados de processamento, identificar as tentativas e violações de 
segurança bem-sucedida, e os incidente de segurança da informação. 
 
Deve formular e implementar um plano de tratamento de riscos para identificar a ação de 
gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as 
ações e os recursos do SGSI. 
 
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os 
resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das 
medições e sugestões. 
 
 
Gabarito Coment. 
 
 
 
 5a Questão 
 A utilização de crachás de identificação de colaboradores numa organização está 
fundamentalmente associado a que tipo de proteção ? 
 
 Preventiva. 
 
Correção. 
 
Reação. 
 
Recuperação . 
 
Limitação. 
 
 
 
 6a Questão 
 No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada 
como um Problema de Segurança: 
 
 
Uma inundação. 
 
Uma Operação Incorreta ou Erro do usuário. 
 Restrição Financeira. 
 
Uma tempestade. 
 
A perda de qualquer aspecto de segurança importante para a organização. 
 
 
 
 7a Questão 
 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas 
ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados 
de auditorias, da análise dos eventos monitorados e através de ações: 
 
 
Corrigidas e Preventivas 
 Corretivas e Preventivas 
 
Corretivas e Corrigidas 
 
Prevenção e Preventivas 
 
Corretivas e Correção 
 
 
 
 8a Questão 
 Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e 
prover os recursos necessários para: 
 
 
Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um 
SGSI. 
 
Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. 
 
Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade 
podem causar aos ativos. 
 
Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e 
fornecedores. 
 
Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. 
 
1a Questão 
 BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise 
de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de 
forma ............................e........................... dos principais processos de negócios mapeados 
e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de 
Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a 
implementação da Continuidade de Negócios. 
 
 
Natural e Desordenada 
 
Clara e Intelegível 
 
Estatística e Ordenada 
 Qualitativa e Quantitativa 
 
Simples e Objetiva. 
 
 
 
 
 2a Questão 
 Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre? 
 
 
Um evento súbito, que ocorre de maneira inesperada. 
 
Eventos de ordem natural ou acidental, como terremotos e incêndios. 
 
Um evento que causa uma parada nos processos da organização por um período de tempo 
maior do que ela considera aceitável. 
 
Uma catástrofe de grandes impactos. 
 
Um ataque massivo pela internet. 
 
 
Gabarito Coment. 
 
 
 
 
 3a Questão 
 Por que as melhores práticas orientam sobre a importância deque a Gestão de Continuidade de 
Negócio (GCN) esteja no nível mais alto da organização? 
 
 
Para garantir que as metas e objetivos definidos não sejam comprometidos por 
interrupções inesperadas. 
 
Para garantir que as metas e objetivos da política de segurança não sejam comprometidos 
por interrupções inesperadas. 
 
Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções 
inesperadas. 
 
Para garantir que as metas e objetivos dos usuários não sejam comprometidos por 
interrupções inesperadas. 
 
Para garantir que as metas e objetivos dos clientes não sejam comprometidos por 
interrupções inesperadas. 
 
 
Gabarito Coment. 
 
 
 
 
 4a Questão 
 Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a 
sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual 
propriedade de segurança? 
 
 Autenticidade; 
 
Auditoria; 
 
Confidencialidade; 
 
Não-Repúdio; 
 
Integridade; 
 
 
Gabarito Coment. 
 
 
 
 
 5a Questão 
 O Plano de Continuidade do Negócio...... 
 
 
não precisa ser testado antes que se torne realmente necessário, pois testes por si só 
implicam em riscos aos ativos de informação. 
 
precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a 
responsabilidade de alguém como os processos organizacionais. 
 
prioriza e estabelece as ações de implantação como resultado de uma ampla análise de 
risco. 
 
deve ser elaborado com base em premissas departamentais particulares do que é 
considerado importante ou não. 
 
define uma ação de continuidade imediata e temporária. 
 
 
 
 
 6a Questão 
 Você está trabalhando em um projeto de implantação da continuidade de negócios em sua 
organização. Você está na fase do projeto que é necessário determinar a estratégia de 
continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: 
 
 
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de 
incidentes e seus efeitos. 
 
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de 
incidentes e seus efeitos. 
 
A organização deve implementar medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
 
A organização deve somente considerar as medidas apropriadas para reduzir a 
probabilidade de ocorrência de incidentes e seus efeitos. 
 
A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de 
incidentes e seus efeitos. 
 
 
 
 
 7a Questão 
 O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos 
obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes 
tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios 
deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço 
gasto. Como podemos definir o elemento "Entendendo a Organização"? 
 
 
Para o estabelecimento do programa de GCN é necessário entender a organização para 
definir a priorização dos produtos e serviços da organização e a urgência das atividades que 
são necessárias para fornecê-los. 
 
Para que às partes interessadas tenham confiança quanto à capacidade da organização de 
sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos 
valores da organização, através da sua inclusão na cultura da empresa. 
 
A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e 
precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda 
identificada as oportunidades de melhorias possíveis. 
 
O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma 
estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de 
negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e 
após um incidente , para manter ou restaurar as operações. 
 
A determinação da estratégia de continuidade de negócio permite que uma resposta 
apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa 
continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de 
tempo aceitável durante e logo após uma interrupção. 
 
 
Gabarito Coment. 
 
 
 
 
 8a Questão 
 O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios 
e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e 
setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar 
as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como 
podemos definir o elemento "Desenvolvendo e Implementando"? 
 
 
Para o estabelecimento do programa de GCN é necessário entender a organização para 
definir a priorização dos produtos e serviços da organização e a urgência das atividades que 
são necessárias para fornecê-los. 
 
Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de 
incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a 
serem tomados durante e após um incidente , para manter ou restaurar as operações. 
 
A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e 
precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda 
identificada as oportunidades de melhorias possíveis. 
 
Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo 
que a organização possa continuar fornecendo seus produtos e serviços em um nível 
operacional e quantidade de tempo aceitável durante e logo após uma interrupção. 
 
Para que às partes interessadas tenham confiança quanto à capacidade da organização de 
sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos 
valores da organização, através da sua inclusão na cultura da empresa. 
 
1a Questão 
 Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de 
gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de 
recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente 
para manter ou restaurar as operações. 
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao 
elemento: 
 
 Incluindo a GCN na cultura da organização. 
 
Testando, mantendo e analisando criticamente os preparativos de GCN. 
 
Determinando a estratégia de continuidade de negócios. 
 Desenvolvendo e implementando uma resposta de GCN. 
 
Entendendo a organização. 
 
 
Gabarito Coment. 
 
 
 
 
 2a Questão 
 Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível 
mais alto da organização para garantir que: 
 
 As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas 
 
As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas 
 
As metas e objetivos definidos sejam comprometidos por interrupções inesperadas 
 
As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas 
 
As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas 
 
 
 
 
 3a Questão 
 O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos 
obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes 
tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios 
deverá adaptar as suas necessidades: o escopo,a estrutura do programa de GCN e o esforço 
gasto. Como podemos definir o elemento "Entendendo a Organização"? 
 
 
A determinação da estratégia de continuidade de negócio permite que uma resposta 
apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa 
continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de 
tempo aceitável durante e logo após uma interrupção. 
 
Para que às partes interessadas tenham confiança quanto à capacidade da organização de 
sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos 
valores da organização, através da sua inclusão na cultura da empresa. 
 
Para o estabelecimento do programa de GCN é necessário entender a organização para 
definir a priorização dos produtos e serviços da organização e a urgência das atividades que 
são necessárias para fornecê-los. 
 
O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma 
estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de 
negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e 
após um incidente , para manter ou restaurar as operações. 
 
A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e 
precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda 
identificada as oportunidades de melhorias possíveis. 
 
 
Gabarito Coment. 
 
 
 
 
 4a Questão 
 Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre? 
 
 
Eventos de ordem natural ou acidental, como terremotos e incêndios. 
 
Um evento que causa uma parada nos processos da organização por um período de tempo 
maior do que ela considera aceitável. 
 
Uma catástrofe de grandes impactos. 
 
Um evento súbito, que ocorre de maneira inesperada. 
 
Um ataque massivo pela internet. 
 
 
Gabarito Coment. 
 
 
 
 
 5a Questão 
 BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise 
de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de 
forma ............................e........................... dos principais processos de negócios mapeados 
e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de 
Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a 
implementação da Continuidade de Negócios. 
 
 Qualitativa e Quantitativa 
 
Simples e Objetiva. 
 
Estatística e Ordenada 
 
Natural e Desordenada 
 
Clara e Intelegível 
 
 
 
 
 6a Questão 
 O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos 
obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes 
tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios 
deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço 
gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"? 
 
 
Para o estabelecimento do programa de GCN é necessário entender a organização para 
definir a priorização dos produtos e serviços da organização e a urgência das atividades que 
são necessárias para fornecê-los. 
 
Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de 
incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a 
serem tomados durante e após um incidente , para manter ou restaurar as operações. 
 
Para que às partes interessadas tenham confiança quanto à capacidade da organização de 
sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos 
valores da organização, através da sua inclusão na cultura da empresa. 
 
Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo 
que a organização possa continuar fornecendo seus produtos e serviços em um nível 
operacional e quantidade de tempo aceitável durante e logo após uma interrupção. 
 
A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e 
precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda 
identificada as oportunidades de melhorias possíveis. 
 
 
Gabarito Coment. 
 
 
 
 
 7a Questão 
 Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a 
sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual 
propriedade de segurança? 
 
 
Confidencialidade; 
 Autenticidade; 
 
Integridade; 
 
Não-Repúdio; 
 
Auditoria; 
 
 
Gabarito Coment. 
 
 
 
 
 8a Questão 
 O Plano de Continuidade do Negócio...... 
 
 
prioriza e estabelece as ações de implantação como resultado de uma ampla análise de 
risco. 
 
define uma ação de continuidade imediata e temporária. 
 
precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a 
responsabilidade de alguém como os processos organizacionais. 
 
deve ser elaborado com base em premissas departamentais particulares do que é 
considerado importante ou não. 
 
não precisa ser testado antes que se torne realmente necessário, pois testes por si só 
implicam em riscos aos ativos de informação. 
 
1a Questão 
 O Plano de Continuidade do Negócio...... 
 
 
define uma ação de continuidade imediata e temporária. 
 
não precisa ser testado antes que se torne realmente necessário, pois testes por si só 
implicam em riscos aos ativos de informação. 
 
deve ser elaborado com base em premissas departamentais particulares do que é 
considerado importante ou não. 
 
precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a 
responsabilidade de alguém como os processos organizacionais. 
 
prioriza e estabelece as ações de implantação como resultado de uma ampla análise de 
risco. 
 
 
 
 
 2a Questão 
 Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a 
sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual 
propriedade de segurança? 
 
 Autenticidade; 
 
Confidencialidade; 
 
Auditoria; 
 
Integridade; 
 
Não-Repúdio; 
 
 
Gabarito Coment. 
 
 
 
 
 3a Questão 
 Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR 
ISO/IEC 15999, que as organizações devem implementar para a identificação das atividades 
críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração 
do plano de continuidade ? 
 
 Análise de impacto dos negócios (BIA) 
 
Análise de risco 
 
Classificação da informação 
 
Auditoria interna 
 
Análise de vulnerabilidade 
 
 
Gabarito Coment. 
 
 
 
 
 4a Questão 
 A gestão de continuidade de negócio envolve prioritariamente os seguintes processos: 
 
 
Plano de redundância; análise de risco; planejamento de capacidade 
 
Investigação e diagnóstico; resolução de problemas; recuperação 
 
Gestão de configuração; planejamento de capacidade; gestão de mudança 
 
Tratamento de incidentes; solução de problemas; acordo de nível de operação 
 
Análise de impacto no negócio; avaliação de risco; plano de contingência 
 
 
 
 
 5a Questão 
 Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de 
Negócio (GCN) esteja no nível mais alto da organização? 
 
 
Para garantir que as metas e objetivos da política de segurança não sejam comprometidos 
por interrupções inesperadas. 
 
Para garantir que as metas e objetivos dos usuários não sejam comprometidos por 
interrupçõesinesperadas. 
 
Para garantir que as metas e objetivos definidos não sejam comprometidos por 
interrupções inesperadas. 
 
Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções 
inesperadas. 
 
Para garantir que as metas e objetivos dos clientes não sejam comprometidos por 
interrupções inesperadas. 
 
 
Gabarito Coment. 
 
 
 
 
 6a Questão 
 Você está trabalhando em um projeto de implantação da continuidade de negócios em sua 
organização. Você está na fase do projeto que é necessário determinar a estratégia de 
continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: 
 
 
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de 
incidentes e seus efeitos. 
 
A organização deve somente considerar as medidas apropriadas para reduzir a 
probabilidade de ocorrência de incidentes e seus efeitos. 
 
A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de 
incidentes e seus efeitos. 
 
A organização deve implementar medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
 
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de 
incidentes e seus efeitos. 
 
 
 
 
 7a Questão 
 Você está trabalhando em um projeto de implantação da continuidade de negócios em sua 
organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a 
opção que melhor retrata as ações que você deve realizar: 
 
 
Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de 
produtos e serviços desnecessários para a organização. 
 
Levantar o grau de relevância dos processos ou hardware que compõe a entrega de 
produtos e serviços fundamentais para a organização. 
 
Levantar o grau de relevância dos processos ou atividades que compõe a entrega de 
produtos e serviços fundamentais para a organização. 
 
Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de 
produtos e serviços desnecessários para a organização. 
 
Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a 
entrega de produtos e serviços fundamentais para a organização. 
 
 
Gabarito Coment. 
 
 
 
 
 8a Questão 
 De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da 
gestão de continuidade do negócio (GCN). 
 
 
GCN é a fase inicial da implantação da gestão de continuidade em uma organização. 
 
A implementação da resposta de GCN compreende a realização dos testes dos planos de 
resposta a incidentes, de continuidade e de comunicação. 
 
A definição da estratégia de continuidade determina o valor dos períodos máximos 
toleráveis de interrupção das atividades críticas da organização. 
 
A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, 
serviços e(ou) atividades críticas e recursos de suporte de uma organização. 
 
GCN é uma abordagem alternativa à gestão de riscos de segurança da informação. 
 
1a Questão 
 De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da 
gestão de continuidade do negócio (GCN). 
 
 
GCN é uma abordagem alternativa à gestão de riscos de segurança da informação. 
 
GCN é a fase inicial da implantação da gestão de continuidade em uma organização. 
 
A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, 
serviços e(ou) atividades críticas e recursos de suporte de uma organização. 
 
A definição da estratégia de continuidade determina o valor dos períodos máximos 
toleráveis de interrupção das atividades críticas da organização. 
 
A implementação da resposta de GCN compreende a realização dos testes dos planos de 
resposta a incidentes, de continuidade e de comunicação. 
 
 
Gabarito Coment. 
 
 
 
 
 2a Questão 
 Você está trabalhando em um projeto de implantação da continuidade de negócios em sua 
organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a 
opção que melhor retrata as ações que você deve realizar: 
 
 
Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de 
produtos e serviços desnecessários para a organização. 
 
Levantar o grau de relevância dos processos ou atividades que compõe a entrega de 
produtos e serviços fundamentais para a organização. 
 
Levantar o grau de relevância dos processos ou hardware que compõe a entrega de 
produtos e serviços fundamentais para a organização. 
 
Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a 
entrega de produtos e serviços fundamentais para a organização. 
 
Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de 
produtos e serviços desnecessários para a organização. 
 
 
Gabarito Coment. 
 
 
 
 
 3a Questão 
 Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de 
Recuperação de Desastres (PRD)? 
 
 
O PRD é responsável pela continuidade dos processos de Tecnologia da Informação 
enquanto que o PCN foca-se na continuidade para todos os processos. 
 
O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à 
reparação dos danos causados. 
 
O PRD é mais abrangente que o PCN. 
 
O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o 
PRD cobre somente os ativos de informação. 
 
O PCN só pode ser implementado se o PRD já tiver em uso. 
 
 
 
 
 4a Questão 
 Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas 
organizações ? 
 
 
Manutenção, implementação do programa e maturação 
 
Planejamento, estudo e implementação do programa 
 
Manutenção, desenvolvimento e implementação do programa 
 
Planejamento, desenvolvimento e implementação do programa 
 
Planejamento, maturação e desenvolvimento 
 
 
 
 
 5a Questão 
 Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para 
Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro 
verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. 
Neste estava houve uma falha na segurança da informação relacionada à: 
 
 
Confidencialidade; 
 
Autenticidade; 
 
Auditoria; 
 Integridade; 
 
Não-Repúdio; 
 
 
 
 
 6a Questão 
 Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de 
gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de 
recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente 
para manter ou restaurar as operações. 
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao 
elemento: 
 
 Desenvolvendo e implementando uma resposta de GCN. 
 
Entendendo a organização. 
 
Incluindo a GCN na cultura da organização. 
 Determinando a estratégia de continuidade de negócios. 
 
Testando, mantendo e analisando criticamente os preparativos de GCN. 
 
 
Gabarito Coment. 
 
 
 
 
 7a Questão 
 Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre? 
 
 
Uma catástrofe de grandes impactos. 
 
Um ataque massivo pela internet. 
 
Um evento súbito, que ocorre de maneira inesperada. 
 
Eventos de ordem natural ou acidental, como terremotos e incêndios. 
 
Um evento que causa uma parada nos processos da organização por um período de tempo 
maior do que ela considera aceitável. 
 
 
Gabarito Coment. 
 
 
 
 
 8a QuestãoBIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise 
de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de 
forma ............................e........................... dos principais processos de negócios mapeados 
e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de 
Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a 
implementação da Continuidade de Negócios. 
 
 
Estatística e Ordenada 
 
Clara e Intelegível 
 Qualitativa e Quantitativa 
 
Simples e Objetiva. 
 
Natural e Desordenada 
 
1a Questão 
 O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de: 
 
 
confirmar que o formulário está sendo preenchido por um usuário humano e não por um 
computador. 
 
testar a aptidão visual do usuário para decidir sobre a folha de estilo CSS a ser utilizada 
nas páginas subseqüentes. 
 
confirmar a identidade do usuário. 
 
controlar a expiração da sessão do usuário, caso o mesmo possua cookies desabilitados em 
seu navegador. 
 
criptografar os dados enviados através do formulário para impedir que os mesmos sejam 
interceptados em curso. 
 
 
 
 
 2a Questão 
 Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está 
INCORRETA : 
 
 
A Chave Publica pode ser divulgada livremente 
 
Chave Publica e Privada são utilizadas por algoritmos assimétricos 
 
A Chave Publica não pode ser divulgada livremente, somente a Chave Privada 
 
Cada pessoa ou entidade mantém duas chaves 
 
A Chave Privada deve ser mantida em segredo pelo seu Dono 
 
 
 
 
 3a Questão 
 Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um 
par de chaves assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade 
certificadora confiável. Uma mensagem será enviada de Ana para Bernardo, satisfazendo às 
seguintes condições: 
1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 
3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às 
condições anteriores. 
A mensagem de Ana para Bernardo deve ser assinada 
 
 
com a chave pública de Ana e criptografada com a chave privada de Bernardo. 
 
e criptografada com a chave pública de Ana. 
 com a chave privada de Ana e criptografada com a chave pública de Bernardo. 
 
com a chave privada de Bernardo e criptografada com a chave pública de Ana. 
 
e criptografada com a chave privada de Bernardo. 
 
 
Gabarito Coment. 
 
 
 
 
 4a Questão 
 Dentre as vantagens de utilização de normas, podemos destacar as seguintes, EXCETO: 
 
 
Desenvolvimento e manutenção das melhores práticas 
 
Criação de vantagens competitivas 
 
Atrair e manter clientes 
 
Demonstração de liderança de mercado 
 
Compartilhamento de informações com os stakeholders 
 
 
 
 
 5a Questão 
 Você trabalha na área de administração de rede e para aumentar as medidas de segurança já 
implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, 
impedindo que os hosts internos se comuniquem diretamente com sites na Internet. Neste caso 
você optará por implementar : 
 
 
Um filtro de pacotes 
 Um servidor proxy 
 
Um firewall com estado 
 
Um roteador de borda 
 
Um detector de intrusão 
 
 
Gabarito Coment. 
 
 
 
 
 6a Questão 
 A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do 
ambiente externo (inseguro), é conhecida como: 
 
 
wi-fi. 
 
backbone. 
 
tcp/ip. 
 
pki. 
 zona desmilitarizada (DMZ). 
 
 
 
 
 7a Questão 
 O fato de se poder conectar qualquer computador em qualquer lugar a qualquer outro 
computador pode torná- lo vulnerável. O recurso técnico para proteger essa conexão de dados é 
através de: 
 
 
Proxy 
 
Certificação digital 
 Firewall 
 
PKI 
 
Esteganografia 
 
 
Gabarito Coment. 
 
 
 
 
 8a Questão 
 Em relação a firewalls, analise as assertivas abaixo: 
I.Firewalls em estado de conexão mapeiam pacotes e usam campos cabeçalhos TCP/IP para 
cuidar da conectividade. 
II.Firewalls podem implementar gateways em nível de aplicação que examinam os pacotes por 
dentro, além do cabeçalho TCP/IP, para ver o que a aplicação está fazendo. 
III. Um problema fundamental com firewalls é que eles oferecem um único perímetro de defesa, 
o qual, se rompido, deixará comprometida toda a segurança. 
É correto o que se afirma em : 
 
 
III, apenas 
 I e II, apenas 
 
I, apenas 
 I, II e III 
 
II, apenas 
 
1a Questão 
 Você trabalha na área de administração de rede está percebendo que a rede tem apresentado 
um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a 
alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico 
do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar: 
 
 Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall 
 
Um analisador de protocolo para auxiliar na análise do tráfego da rede 
 
Um sniffer de rede, para analisar o tráfego da rede 
 Um detector de intrusão para realizar a análise do tráfego da rede 
 
Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede 
 
 
 
 
 2a Questão 
 A sub-rede, também conhecida como rede de perímetro, utilizada para transmitir informações 
entre uma rede confiável e uma não confiável, mantendo os serviços que possuem acesso 
externo separados da rede local, é chamada de: 
 
 
Proxy 
 
VPN 
 DMZ 
 
Firewall 
 
Intranet 
 
 
Gabarito Coment. 
 
 
 
 
 3a Questão 
 São exemplos de ativos associados a sistemas (pertinentes para a identificação de ameaças), 
exceto: 
 
 
Serviços 
 
Informação 
 
Softwares 
 
Hardware 
 
Pessoas 
 
 
 
 
 4a Questão 
 Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende 
implantar um servidor de banco de dados somente para consulta dos usuários internos da 
organização. Em qual tipo de rede você localizaria este servidor considerando que você irá 
utilizar o conceito de perímetro de segurança? 
 
 
em uma subrede externa protegida por um proxy 
 
na Zona Demilitarizada (DMZ) suja 
 
ligado diretamente no roteador de borda 
 na rede interna da organização 
 na Zona Demilitarizada (DMZ) protegida 
 
 
Gabarito Coment. 
 
 
 
 
 5a Questão 
 Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança 
e seus componentes ? 
 
 
Redes Não Confiáveis - Não é possível informar se necessitam de proteção. 
 
Redes Não Confiáveis - Não possuem controle da administração. 
 
Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou 
não confiável. 
 
Redes Não Confiáveis - Não possuem políticas de segurança. 
 
Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de 
proteção 
 
 
 
 
 6a Questão 
 Você está trabalhando em um projeto de implantação da continuidade de negócios em sua 
organização. Você está na fase do projeto que é necessário determinar a estratégia de 
continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: 
 
 
A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de 
incidentes e seus efeitos. 
 
A organização deve somente considerar as medidas apropriadaspara reduzir a 
probabilidade de ocorrência de incidentes e seus efeitos. 
 
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de 
incidentes e seus efeitos. 
 
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de 
incidentes e seus efeitos. 
 
A organização deve implementar medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
 
 
Gabarito Coment. 
 
 
 
 
 7a Questão 
 Você trabalha na área de administração de rede está percebendo que a rede tem apresentado 
um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a 
alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico 
do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar: 
 
 
Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede 
 
Um firewall para auxiliar na análise do tráfego da rede 
 
Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall 
 
Um analisador de espectro de rede, para analisar o tráfego da rede 
 Um detector de intrusão para realizar a análise do tráfego da rede 
 
 
Gabarito Coment. 
 
 
 
 
 8a Questão 
 Que cuidado deve ser tomado no armazenamento de fitas de backup fora da organização? 
 
 
O local de armazenamento deve estar protegido por guardas armados. 
 
O local de armazenamento deve estar a, no mínimo, 25 quilômetros da organização. 
 
O local de armazenamento deve estar a, no mínimo, 40 quilômetros da organização. 
 
O local de armazenamento deve estar protegido contra acessos não autorizados. 
 
O local de armazenamento deve ser de fácil acesso durante o expediente. 
 
1a Questão 
 Você trabalha na área de administração de rede e para aumentar as medidas de segurança já 
implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, 
impedindo que os hosts internos e externos se comuniquem diretamente. Neste caso você 
optará por implementar : 
 
 
Um firewall com estado 
 Um servidor proxy 
 
Um detector de intrusão 
 
Um filtro de pacotes 
 
Um roteador de borda 
 
 
 
 
 2a Questão 
 Considerando que um usuário deseje enviar um e-mail criptografado, assinale a alternativa que 
apresenta a chave do destinatário que esse usuário deverá conhecer para realizar corretamente 
a criptografia. 
 
 Chave pública 
 
Chave privada 
 
Chave certificada 
 
Chave criptografada privada 
 
Chave criptografada pública 
 
 
 
 
 3a Questão 
 Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado 
ponto de controle da rede de computadores de uma empresa sendo sua função a de regular o 
tráfego de dados entre essa rede e a internet e impedir a transmissão e/ou recepção de acessos 
nocivos ou não autorizados. 
 
 
Spyware. 
 
Mailing. 
 
Adware. 
 
Antivírus. 
 Firewall. 
 
 
 
 
 4a Questão 
 Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. 
Podem ser classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall 
que permite executar a conexão ou não a um serviço em uma rede modo indireto ? 
 
 
Firewall com Estado 
 
Firewall Indireto 
 
Filtro com Pacotes 
 
Firewall de Borda 
 Firewall Proxy 
 
 
 
 
 5a Questão 
 Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende 
implantar um servidor Internet para que os clientes possam acessar as informações oferecidas 
pela empresa à seus clientes. Em qual tipo de rede você localizaria este servidor considerando 
que você irá utilizar o conceito de perímetro de segurança? 
 
 na rede interna da organização 
 
na Zona Desmilitarizada (DMZ) suja 
 
em uma subrede interna protegida por um proxy 
 
ligado diretamente no roteador de borda 
 na Zona Desmilitarizada (DMZ) protegida 
 
 
 
 
 6a Questão 
 Uma empresa teve a sua sala de servidores incendiadas e com isso perdeu todos os dados 
importantes para a empresa, mas ela estava preparada para a continuidade dos negócios, o que 
você acha que foi importante para a recuperação destes dados: 
 
 
Havia uma VPN interligando várias Intranets através da Internet. 
 
Eles tinham um IDS que tem como principal objetivo reconhecer um comportamento ou 
uma ação intrusiva, através da análise das informações disponíveis em um sistema de 
computação ou rede. 
 
Eles dispunham de uma DMZ que são pequenas redes que geralmente contém serviços 
públicos que são conectados diretamente ao firewall ou a outro dispositivo de filtragem e 
que recebem a proteção deste dispositivo. 
 
A empresa possuía um FIREWALL que isolam a rede interna da organização da área pública 
da Internet, permitindo que alguns pacotes passem e outros não, prevenindo ataques de 
negação de serviço ou modificações e acessos ilegais aos dados internos. 
 
Na empresa haviam Backups ou cópias de segurança que são itens muito importantes na 
administração de sistemas devendo fazer parte da rotina de operação dos sistemas da 
organização, através de uma política pré-determinada. 
 
 
 
 
 7a Questão 
 Analise as seguintes afirmações relacionadas à Segurança da Informação e os objetivos do 
controle de acesso: 
 
I. A disponibilidade é uma forma de controle de acesso que permite identificar os usuários 
legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado. 
 
II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não 
autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente. 
 
III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra 
invasão de redes, que inspeciona uma rede de dentro para fora, identifica e avalia padrões 
suspeitos que podem identificar um ataque à rede e emite um alarme quando existe a suspeita 
de uma invasão. IV. A integridade é uma forma de controle de acesso que evita o acesso de 
pessoas não autorizadas a informações confidenciais, salvaguardando segredos de negócios e 
protegendo a privacidade de dados pessoais. 
 
Indique a opção que contenha todas as afirmações verdadeiras. 
 
 
I e II. 
 I e III. 
 
II e IV. 
 II e III. 
 
III e IV. 
 
 
Gabarito Coment. 
 
 
 
 
 8a Questão 
 Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente 
físico e, até mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de 
contingência que melhor conduza o objeto a operar sob um nível de risco controlado. Nas 
estratégias de contingência possíveis de implementação, qual a estratégia que está pronta para 
entrar em operação assim que uma situação de risco ocorrer? 
 
 
Acordo de reciprocidade 
 
Cold-site 
 Hot-site 
 
Realocação de operação 
 
Warm-site 
 
1a Questão 
 Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste 
sentido é correto afirmar que? 
 
 
A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam 
chaves diferentes 
 
A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a 
mesma chave 
 
A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as 
mesmas chaves 
 
A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não 
utilizam a mesma chave 
 
A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam 
chaves diferentes 
 
 
Gabarito Coment. 
 
 
Gabarito Coment. 
 
 
 
 2a QuestãoA sub-rede, também conhecida como rede de perímetro, utilizada para transmitir informações 
entre uma rede confiável e uma não confiável, mantendo os serviços que possuem acesso 
externo separados da rede local, é chamada de: 
 
 
Firewall 
 DMZ 
 
Intranet 
 
Proxy 
 
VPN 
 
 
Gabarito Coment. 
 
 
 
 3a Questão 
 São exemplos de ativos associados a sistemas (pertinentes para a identificação de ameaças), 
exceto: 
 
 
Serviços 
 
Informação 
 
Softwares 
 
Hardware 
 
Pessoas 
 
 
 
 4a Questão 
 Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende 
implantar um servidor de banco de dados somente para consulta dos usuários internos da 
organização. Em qual tipo de rede você localizaria este servidor considerando que você irá 
utilizar o conceito de perímetro de segurança? 
 
 
em uma subrede externa protegida por um proxy 
 na rede interna da organização 
 
ligado diretamente no roteador de borda 
 
na Zona Demilitarizada (DMZ) suja 
 
na Zona Demilitarizada (DMZ) protegida 
 
 
Gabarito Coment. 
 
 
 
 5a Questão 
 Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança 
e seus componentes ? 
 
 
Redes Não Confiáveis - Não é possível informar se necessitam de proteção. 
 
Redes Não Confiáveis - Não possuem políticas de segurança. 
 
Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de 
proteção 
 
Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou 
não confiável. 
 
Redes Não Confiáveis - Não possuem controle da administração. 
 
 
 
 6a Questão 
 Você está trabalhando em um projeto de implantação da continuidade de negócios em sua 
organização. Você está na fase do projeto que é necessário determinar a estratégia de 
continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: 
 
 
A organização deve somente considerar as medidas apropriadas para reduzir a 
probabilidade de ocorrência de incidentes e seus efeitos. 
 
A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de 
incidentes e seus efeitos. 
 
A organização deve implementar medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
 
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência 
de incidentes e seus efeitos. 
 
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de 
incidentes e seus efeitos. 
 
 
Gabarito Coment. 
 
 
 
 7a Questão 
 Você trabalha na área de administração de rede está percebendo que a rede tem apresentado 
um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a 
alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico 
do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar: 
 
 
Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall 
 
Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede 
 Um detector de intrusão para realizar a análise do tráfego da rede 
 
Um analisador de espectro de rede, para analisar o tráfego da rede 
 
Um firewall para auxiliar na análise do tráfego da rede 
 
 
Gabarito Coment. 
 
 
 
 8a Questão 
 Que cuidado deve ser tomado no armazenamento de fitas de backup fora da organização? 
 
 
O local de armazenamento deve ser de fácil acesso durante o expediente. 
 
O local de armazenamento deve estar a, no mínimo, 40 quilômetros da organização. 
 
O local de armazenamento deve estar protegido contra acessos não autorizados. 
 
O local de armazenamento deve estar protegido por guardas armados. 
 
O local de armazenamento deve estar a, no mínimo, 25 quilômetros da organização.