ex segurança auditoria.docx

Prévia do material em texto

Questão 1
Incorreto
Marcar questão
Texto da questão
O desenvolvimento de uma política de segurança da informação é realizado em quatro etapas principais. Assinale a alternativa que corresponde à fase de levantamento de informações:
Escolha uma:
a. Nesta fase serão obtidas informações iniciais sobre os ambientes de negócios, bem como o entendimento das necessidades e uso dos recursos tecnológicos nos processos da instituição. 
b. É a fase de mudança de cultura que inclui comportamentos que comprometem a segurança da informação. 
c. Fase que envolve aspectos como a classificação das informações, atribuição de regras e responsabilidades e, descrição de procedimentos que envolvem a TI como um todo. 
A primeira fase para o desenvolvimento e implementação das políticas, normas e procedimentos de segurança da informação em uma organização é a fase de levantamento de informações. Não há como prosseguir para as outras fases sem o entendimento completo sobre o ambiente, regras de negócio e processos de uma organização. Fonte: Cap 1, pag. 11
d. É nesta fase que serão formalizados os procedimentos junto à alta administração. 
e. É a efetiva implantação das políticas, normas e procedimentos através de preparação de material promocional, divulgação constante, conscientização das responsabilidades, realização de palestras de modo que todo o público-alvo possa compreender e ser convencido a segui-las. 
Feedback
A resposta correta é: Nesta fase serão obtidas informações iniciais sobre os ambientes de negócios, bem como o entendimento das necessidades e uso dos recursos tecnológicos nos processos da instituição..
Questão 2
Correto
Marcar questão
Texto da questão
A confidencialidade é um dos pilares básicos da Segurança da Informação. Assinale a alternativa que corresponde ao seu conceito:
Escolha uma:
a. É a propriedade de que a informação deve estar disponível sempre que alguém autorizado, no exercício de suas funções, necessitar dela. 
b. É a garantia de que a informação armazenada é verdadeira e não está corrompida. 
c. É a capacidade de provar que um usuário foi responsável por determinada ação. 
d. É o conceito de que determinadas informações só podem ser acessadas por quem é de direito conhecê-las. 
Tema: Pilares de segurança da informação, opção (E) A confidencialidade refere-se à proteção da informação, no sentido de que somente quem é autorizado a acessá-la deve fazê-lo. Fonte: Cap 1, pag. 4
e. É a propriedade que garante que a informação está de acordo com a legislação pertinente. 
Feedback
A resposta correta é: É o conceito de que determinadas informações só podem ser acessadas por quem é de direito conhecê-las..
Questão 3
Incorreto
Marcar questão
Texto da questão
Um dos conceitos fundamentais de segurança da informação está relacionado ao nível de abstração, ou seja, o aumento da capacidade de subtrair detalhes, de modo que possamos visualizar algo de forma mais concisa. Assinale a alternativa que apresenta a ordem correta, do menor nível de abstração até o maior nível:
Escolha uma:
a. Dados, informação, conhecimento. 
b. Informação, dados, conhecimento. 
c. Conhecimento, informação, dados. 
Conceitos básicos de segurança da informação, opção (C) À medida que o nível de abstração aumenta, é gerado valor agregado sobre os dados brutos, transformando-se em informação, e posteriormente em conhecimento. Fonte: Cap 1, pag. 1,2
d. Informação, conhecimento, dados. 
e. Dados, conhecimento, informação. 
Feedback
A resposta correta é: Dados, informação, conhecimento..
Questão 4
Incorreto
Marcar questão
Texto da questão
Quanto à classificação dos ativos da informação, assinale a alternativa que apresenta somente ativos da informação que pertencem ao tipo físico de natureza do ativo:
Escolha uma:
a. Mídias magnéticas, impressoras e desktops. 
b. Empregados, ferramentas de desenvolvimento, planos de continuidade. 
Os ativos da informação são a própria informação somada a qualquer componente que a sustenta ou se utiliza dela. Este componente pode ser humano, tecnológico, hardware, software, entre outros. O grupo de ativos cuja natureza é física engloba somente objetos físicos que sustentam a informação. Fonte: Cap 1, pag. 7,8
c. Contratos, empregados e sistemas operacionais. 
d. Sistemas operacionais, servidores, desktops e notebooks. 
e. Equipamentos de comunicação, sistemas operacionais e aplicativos. 
Feedback
A resposta correta é: Mídias magnéticas, impressoras e desktops..
Questão 5
Incorreto
Marcar questão
Texto da questão
As normas da família ISO 27000 herdaram a padronização instituída na década de 1990 pela norma:
Escolha uma:
a. IEEE 802.1 
b. BS7750 
c. ISO 14001 
d. BS7799 
e. ISO 9001 
Tema: Introdução às normas e padrões de segurança da informação, opção (D). A padronização para a área de segurança da informação foi iniciada pelo BSI (British Standard Institute) com a criação da norma BS7799 na década de 1990, sendo considerado o mais completo padrão para o gerenciamento da segurança da informação no mundo. Fonte: Cap 2, pag. 2
Feedback
A resposta correta é: BS7799.
Questão 6
Incorreto
Marcar questão
Texto da questão
Sobre Sistema de Gestão de Segurança da Informação (SGSI), é INCORRETO afirmar:
Escolha uma:
a. Um SGSI é de fundamental importância para empresas do setor privado, porém não se aplica ao setor público. 
b. É o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como são reduzidos os riscos para a segurança da informação. 
c. Na prática, quando uma instituição implanta a norma ISO 27001 acaba por constituir um SGSI. 
Tema: Norma NBR/ISO 27001:2013, opção (E). A aplicação do SGSI é de fundamental importância tanto para o setor público como para o setor privado. Fonte: Cap 2, pag. 3,4
d. Se a organização tem uma necessidade simples, isto requer uma solução simples de SGSI. 
e. A implantação de um SGSI pode contribuir muito para a garantia da reputação de uma organização. 
Feedback
A resposta correta é: Um SGSI é de fundamental importância para empresas do setor privado, porém não se aplica ao setor público..
Questão 7
Incorreto
Marcar questão
Texto da questão
Um dos tópicos da norma NBR ISO/IEC 27001:2013 é o tópico de Avaliação de Desempenho. Assinale a alternativa que descreve corretamente este tópico:
Escolha uma:
a. Incentiva a melhoria contínua através de constantes ações corretivas. 
Tema: Norma NBR ISO/IEC 27001:2013, opção (C). A avaliação de desempenho, também conhecida como avaliação de performance é uma das últimas etapas na aplicação da norma ISO 27001, importante pelo seu caráter crítico da aplicabilidade da norma. Fonte: Cap 2, pag. 8.
b. Etapas de monitoramento, medição e análise bem como auditoria interna e análise crítica por parte da alta administração. 
c. Referências indispensável para a aplicação da norma. 
d. Descreve os objetivos gerais e a aplicação da norma. 
e. Glossário completo com termos técnicos fundamentais. 
Feedback
A resposta correta é: Etapas de monitoramento, medição e análise bem como auditoria interna e análise crítica por parte da alta administração..
Questão 8
Correto
Marcar questão
Texto da questão
Sobre o “Anexo A” da norma NBR ISO/IEC 27001:2013, assinale a afirmativa correta:
Escolha uma:
a. Trata-se da descrição de controles com os mesmos nomes dos controles da norma ISO 27002. 
Tema: Norma NBR/ISO 27001:2013, opção (A). O Anexo A da ISO 27001 apresenta forte relacionamento com a norma ISO 27002. Neste anexo os controles são apresentados em apenas uma frase, porém na norma ISO 27002 os mesmos controles são detalhados em páginas inteiras. Fonte: Cap 2, pag. 9
b. Trata-se de um guia para obter a certificação da norma ISO 27001. 
c. Trata-se do detalhamento da abordagem Plan-Do-Check-Act (PDCA). 
d. Trata-se da descrição detalhada de como implementar um Sistema de Gestão de Segurança da Informação (SGSI). 
e. Trata-se de um glossário completocom termos técnicos fundamentais para o entendimento da norma. 
Feedback
A resposta correta é: Trata-se da descrição de controles com os mesmos nomes dos controles da norma ISO 27002..
Questão 9
Incorreto
Marcar questão
Texto da questão
Sobre a utilização de recursos de TI em uma organização, assinale a alternativa incorreta:
Escolha uma:
a. Os colaboradores da instituição devem ter ciência de que o uso dos recursos tecnológicos deve ser feito apenas para atividades diretamente relacionadas aos negócios da organização. 
Tema: Utilização dos recursos de TI, opção (D). Os usuários finais não devem ter acesso privilegiado para instalação de aplicativos em suas estações de trabalho, visto que tal prática por representar riscos, como a instalação de malwares, pois o usuário final não possui, via de regra, conhecimento técnico suficiente para evitar tais incidentes. Fonte: Cap 3, pag. 1
b. É de fundamental importância que a organização possua uma política de utilização dos recursos de TI bem definida. 
c. A maioria dos incidentes de segurança da informação ocorrem no ambiente interno das organizações. 
d. Os usuários finais devem ter acesso privilegiado para instalação de softwares, visto que tal prática não representa risco significativo à segurança da informação. 
e. Cabe à equipe de TI disponibilizar aos colaboradores (funcionários ou terceiros) somente os recursos tecnológicos que irão auxiliá-los no desempenho de suas funções e execução de seus trabalhos. 
Feedback
A resposta correta é: Os usuários finais devem ter acesso privilegiado para instalação de softwares, visto que tal prática não representa risco significativo à segurança da informação..
Questão 10
Incorreto
Marcar questão
Texto da questão
Quanto ao ITIL, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente: 
Esta biblioteca teve início nos anos 1990, quando o governo suíço percebeu a necessidade de melhorar os seus serviços de TI. 
É o padrão atual da indústria para implantar o gerenciamento de serviços de TI. 
A ITIL organiza os processos para o gerenciamento dos serviços de TI por meio de um ciclo de vida de serviços. 
A ITIL é descrita em três componentes básicos: núcleo do ITIL, guias complementares e guias de gestão e governança de TI.
Escolha uma:
a. V,F,V,F 
b. F,V,F,V 
Introdução ao ITIL, opção (C). A alternativas II e III são verdadeiras. A alternativa I é falsa pois foi o governo britânico que iniciou tal padronização. A alternativa IV é falsa pois a ITIL é descrita em dois componentes básicos: núcleo do ITIL e guias complementares.Fonte: Cap 2, pag. 16
c. F,V,V,F 
d. V,V,V,F 
e. V,V,F,F 
Feedback
A resposta correta é: F,V,V,F.
Questão 1
Correto
Marcar questão
Texto da questão
O estudo de impactos faz parte de um plano diretor de segurança, que tem como objetivo montar um mapa de relacionamento e dependência entre processos de negócio, aplicações e infraestrutura física, tecnológica e humana. É realizada uma análise para cada aspecto da segurança da informação (CIDAL – Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade). Os níveis de impacto são classificados em cinco níveis. Considerando a sequência do menor impacto para o maior impacto, assinale a alternativa que corresponde à sequência correta:
Escolha uma:
a. Importante, crítico, vital, não considerável e relevante. 
b. Vital, crítico, importante, relevante e não-considerável. 
c. Relevante, não-considerável, importante, vital e crítico. 
d. Não-considerável, importante, relevante, crítico e vital. 
e. Não-considerável, relevante, importante, crítico e vital. 
Tema: Estudo de impactos (análise CIDAL), opção (D). Os níveis de impacto são classificados do menor impacto, ou seja, quando um processo de negócio é afetado por um incidente de segurança e este incidente não representa prejuízo à atividade produtiva, até o nível vital, quando um incidente afeta a organização de tal maneira que pode levar à falência da mesma. Fonte: Cap 1, pag. 16,17
Feedback
A resposta correta é: Não-considerável, relevante, importante, crítico e vital..
Questão 2
Correto
Marcar questão
Texto da questão
Assinale a alternativa que corresponde à etapa de uso, dentro do ciclo de vida da informação:
Escolha uma:
a. Quando é realizado o expurgo de informações. 
b. Quando é realizado algum tipo de organização ou formatação da informação. 
c. A informação é criada, ou obtida através de uma fonte externa. 
d. A informação é conservada para futura utilização. 
e. Quando é gerado valor agregado à informação. 
O ciclo de vida da informação é composto de seis etapas: obtenção, tratamento, armazenamento, distribuição, uso e descarte. O uso é a etapa mais importante, pois é quanto é gerado valor agregado à informação, podendo gerar informações gerenciais que podem ser utilizadas para tomadas de decisões, entre outros propósitos. Fonte: Cap 1, pag. 9,10
Feedback
A resposta correta é: Quando é gerado valor agregado à informação..
Questão 3
Incorreto
Marcar questão
Texto da questão
Quanto aos conceitos complementares de Segurança da Informação, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente: 
(__) Ativo de informação: É a própria informação somada a qualquer componente que a sustenta ou se utiliza dela. 
(__) Ataque: São os meios utilizados para resolução das vulnerabilidades. 
(__) Vulnerabilidade: É o ponto fraco de um ativo. 
(__) Ameaça: É a exploração de uma falha por um agente. 
(__) Controle: São os meios utilizados para resolução das vulnerabilidades.
Escolha uma:
a. V,F,V,V,F 
b. F,F,V,F,V 
c. V,F,V,F,V 
d. F,F,V,F,V 
e. V,V,V,V,V 
A alternativas I, III e V são verdadeiras. A alternativa II é falsa pois o ataque é a exploração de uma falha por um agente. A alternativa IV é falsa pois a ameaça é a iminência de um ataque, caracterizado pela exposição de uma vulnerabilidade a um meio hostil. Fonte: Cap 1, pag. 5,6
Feedback
A resposta correta é: V,F,V,F,V.
Questão 4
Incorreto
Marcar questão
Texto da questão
A implantação de uma política de segurança da informação em uma organização apresenta benefícios a curto, médio e longo prazo. Assinale a alternativa que corresponde ao benefício de longo prazo:
Escolha uma:
a. Redução imediata de probabilidade de ataques a ativos de informação. 
b. Implantação de controles para resolução de vulnerabilidades 
c. Retorno do investimento por meio de redução de problemas e incidentes. 
d. Maior segurança nos processos, através da implementação de novos procedimentos e prevenção de acessos não autorizados. 
e. Padronização dos procedimentos e conformidade com padrões de segurança (normas ISO/IEC). 
Divulgação, características e benefícios da política de segurança da informação Gabarito comentado: opção (D), O retorno do investimento por meio de redução de problemas e incidentes de segurança só pode ser obtido após um longo período de implementação e uso da política de segurança da informação em uma organização. Fonte: Cap 1, pag. 12
Feedback
A resposta correta é: Retorno do investimento por meio de redução de problemas e incidentes..
Questão 5
Incorreto
Marcar questão
Texto da questão
Um dos cinco princípios do COBIT é atender as necessidades das partes interessadas. Assinale a alternativa que corresponde ao conceito de partes interessadas, ou stakeholders:
Escolha uma:
a. Pessoas ou grupos que possuem investimento ou interesse no negócio. 
b. Pessoas que devem colaborar e trabalhar em conjunto a fim de garantir que a TI esteja inclusa na abordagem de governança e gestão. 
Tema: Princípios do COBIT, opção (A). O termo inglês stakeholders é muito utilizado no COBIT e outras normas, no sentido original da palavra stake significa interesse ou participação, e holder significa aquele que possui. Podem ser pessoas ou organizações afetadas diretamente pelos projetos e processos de uma empresa. Fonte: Cap 2, pag. 13
c. Pessoasque ajudam a alcançar os objetivos da empresa. 
d. Grupo responsável pela governança e o gerenciamento de informações de uma organização. 
e. São os gestores executivos de uma empresa. 
Feedback
A resposta correta é: Pessoas ou grupos que possuem investimento ou interesse no negócio..
Questão 6
Correto
Marcar questão
Texto da questão
De forma a reunir diversas normas de segurança da informação, a ISO criou a série 27000. As duas principais normas desta família, e mais amplamente utilizadas, são as normas:
Escolha uma:
a. ISO 27007 e ISO 27009 
b. ISO 27009 e ISO 27017 
c. ISO 27001 e ISO 27002 
Tema: Introdução às normas e padrões de segurança da informação, opção (E). A norma ISO 27001 é a principal norma que uma organização deve utilizar como base para obter a certificação empresarial em gestão da segurança da informação sendo a única norma internacional que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI) e a ISO 27002 é um conjunto completo de controles que auxiliam a aplicação do SGSI. Fonte: Cap 2, pag. 2
d. ISO 27009 e ISO 27013 
e. ISO 27001 e ISO 27009 
Feedback
A resposta correta é: ISO 27001 e ISO 27002.
Questão 7
Incorreto
Marcar questão
Texto da questão
Quanto à norma NBR/ISO 27002:2013, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente: 
O objetivo desta norma é prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). 
Os controles presentes no Anexo A da ISO 27001 são detalhados na ISO 27002. 
Adota o modelo conhecido como Plan-Do-Check-Act (PDCA). 
A certificação é feita para pessoa física.
Escolha uma:
a. F,V,F,V 
b. V,F,V,V 
c. F,V,V,V 
Tema: Norma NBR/ISO 27002:2013, opção (C). A alternativas II e IV são verdadeiras. A alternativa I é falsa pois a tarefa prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI cabe à ISO 27001. A alternativa III é falsa pois o modelo PDCA é adotado na ISO 27001. Fonte: Cap 2, pag. 8,9,10
d. F,V,V,F 
e. F,F,V,F 
Feedback
A resposta correta é: F,V,F,V.
Questão 8
Incorreto
Marcar questão
Texto da questão
Um dos tópicos da norma NBR ISO/IEC 27002:2013 é o tópico de Aquisição, Desenvolvimento e Manutenção de Sistemas. Assinale a alternativa que descreve corretamente este tópico:
Escolha uma:
a. Nesta seção são abordados aspectos de orientação para assegurar o uso efetivo e adequado da criptografia. 
b. Evidencia que é necessário garantir que a segurança da informação é parte integrante de todo o ciclo de vida dos sistemas de informação. 
c. Engloba a identificação dos ativos da organização e define as responsabilidades apropriadas para a proteção dos mesmos. 
d. O acesso físico às instalações e à infraestrutura de apoio deve ser monitorizado e restrito. 
e. Engloba a identificação dos ativos da organização e define as responsabilidades apropriadas para a proteção dos mesmos. 
Tema: Norma NBR ISO/IEC 27002:2013, opção (D). Os controles descritos no tópico de aquisição, desenvolvimento e manutenção de sistemas deixam claro que a integração com o ciclo de vida completo de sistemas é parte fundamental da aplicação da norma em uma organização. Fonte: Cap 2, pag. 10
Feedback
A resposta correta é: Evidencia que é necessário garantir que a segurança da informação é parte integrante de todo o ciclo de vida dos sistemas de informação..
Questão 9
Correto
Marcar questão
Texto da questão
Quanto à segurança em datacenter, é correto afirmar que:
Escolha uma:
a. Não é necessário o investimento maciço em segurança de datacenter, visto que as aplicações desenvolvidas atualmente possuem mecanismos de proteção suficientes para garantia da segurança da informação. 
b. A segurança em datacenter é regida pela norma BS7799. 
c. Possui quatro requisitos de segurança básicos, sendo eles: controle de acesso, manutenção periódica, prostração contra danos e refrigeração do ambiente. 
Segurança em datacenter, opção (C)Os requisitos básicos de segurança devem ser seguidos para garantia da segurança das informações que os datacenters armazenam. Fonte: Cap 3, pag. 3,4
d. A instalação de um firewall é suficiente para garantia de segurança em datacenter. 
e. Tornou-se obsoleto, visto que o armazenamento em nuvem substituiu a necessidade de uso de datacenter. 
Feedback
A resposta correta é: Possui quatro requisitos de segurança básicos, sendo eles: controle de acesso, manutenção periódica, prostração contra danos e refrigeração do ambiente..
Questão 10
Correto
Marcar questão
Texto da questão
Quanto à titularidade das informações em um ambiente corporativo, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente: 
Dentro do ambiente corporativo, a empresa detém os direitos sobre todos os dados e informações armazenados nos seus ambientes computacionais. 
Se o empregado for previamente avisado que o e-mail da empresa deve ser usado apenas para fins profissionais, a empresa poderá monitorar o conteúdo sem ferir as leis e normas vigentes. 
Independente de aviso prévio, a empresa jamais poderá monitorar o correio eletrônico de um funcionário, podendo a mesma responder ação judicial na Justiça do Trabalho.
Escolha uma:
a. V,V,V 
b. F,V,F 
c. F,F,V 
d. V,V,F 
Tema: Titularidade das informações, opção (B). A alternativas I e II são verdadeiras. A alternativa III é falsa pois é direito da empresa monitorar o correio eletrônico de um funcionário, visto que à ela pertence as informações armazenadas em seus ambientes computacionais, devendo a empresa avisar previamente e regular o uso do email corporativo. Fonte: Cap 3, pag. 2
e. V,F,V 
Feedback
A resposta correta é: V,V,F.
Questão 1
Correto
Marcar questão
Texto da questão
Quanto aos conceitos complementares de Segurança da Informação, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente: 
(__) Ativo de informação: É a própria informação somada a qualquer componente que a sustenta ou se utiliza dela. 
(__) Ataque: São os meios utilizados para resolução das vulnerabilidades. 
(__) Vulnerabilidade: É o ponto fraco de um ativo. 
(__) Ameaça: É a exploração de uma falha por um agente. 
(__) Controle: São os meios utilizados para resolução das vulnerabilidades.
Escolha uma:
a. V,F,V,V,F 
b. V,F,V,F,V 
A alternativas I, III e V são verdadeiras. A alternativa II é falsa pois o ataque é a exploração de uma falha por um agente. A alternativa IV é falsa pois a ameaça é a iminência de um ataque, caracterizado pela exposição de uma vulnerabilidade a um meio hostil. Fonte: Cap 1, pag. 5,6
c. F,F,V,F,V 
d. F,F,V,F,V 
e. V,V,V,V,V 
Feedback
A resposta correta é: V,F,V,F,V.
Questão 2
Correto
Marcar questão
Texto da questão
O estudo de impactos faz parte de um plano diretor de segurança, que tem como objetivo montar um mapa de relacionamento e dependência entre processos de negócio, aplicações e infraestrutura física, tecnológica e humana. É realizada uma análise para cada aspecto da segurança da informação (CIDAL – Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade). Os níveis de impacto são classificados em cinco níveis. Considerando a sequência do menor impacto para o maior impacto, assinale a alternativa que corresponde à sequência correta:
Escolha uma:
a. Não-considerável, relevante, importante, crítico e vital. 
Tema: Estudo de impactos (análise CIDAL), opção (D). Os níveis de impacto são classificados do menor impacto, ou seja, quando um processo de negócio é afetado por um incidente de segurança e este incidente não representa prejuízo à atividade produtiva, até o nível vital, quando um incidente afeta a organização de tal maneira que pode levar à falência da mesma. Fonte: Cap 1, pag. 16,17
b. Não-considerável, importante, relevante,crítico e vital. 
c. Relevante, não-considerável, importante, vital e crítico. 
d. Vital, crítico, importante, relevante e não-considerável. 
e. Importante, crítico, vital, não considerável e relevante. 
Feedback
A resposta correta é: Não-considerável, relevante, importante, crítico e vital..
Questão 3
Correto
Marcar questão
Texto da questão
A confidencialidade é um dos pilares básicos da Segurança da Informação. Assinale a alternativa que corresponde ao seu conceito:
Escolha uma:
a. É a propriedade que garante que a informação está de acordo com a legislação pertinente. 
b. É a capacidade de provar que um usuário foi responsável por determinada ação. 
c. É a propriedade de que a informação deve estar disponível sempre que alguém autorizado, no exercício de suas funções, necessitar dela. 
d. É o conceito de que determinadas informações só podem ser acessadas por quem é de direito conhecê-las. 
Tema: Pilares de segurança da informação, opção (E) A confidencialidade refere-se à proteção da informação, no sentido de que somente quem é autorizado a acessá-la deve fazê-lo. Fonte: Cap 1, pag. 4
e. É a garantia de que a informação armazenada é verdadeira e não está corrompida. 
Feedback
A resposta correta é: É o conceito de que determinadas informações só podem ser acessadas por quem é de direito conhecê-las..
Questão 4
Correto
Marcar questão
Texto da questão
O desenvolvimento de uma política de segurança da informação é realizado em quatro etapas principais. Assinale a alternativa que corresponde à fase de levantamento de informações:
Escolha uma:
a. É a efetiva implantação das políticas, normas e procedimentos através de preparação de material promocional, divulgação constante, conscientização das responsabilidades, realização de palestras de modo que todo o público-alvo possa compreender e ser convencido a segui-las. 
b. Nesta fase serão obtidas informações iniciais sobre os ambientes de negócios, bem como o entendimento das necessidades e uso dos recursos tecnológicos nos processos da instituição. 
A primeira fase para o desenvolvimento e implementação das políticas, normas e procedimentos de segurança da informação em uma organização é a fase de levantamento de informações. Não há como prosseguir para as outras fases sem o entendimento completo sobre o ambiente, regras de negócio e processos de uma organização. Fonte: Cap 1, pag. 11
c. É a fase de mudança de cultura que inclui comportamentos que comprometem a segurança da informação. 
d. Fase que envolve aspectos como a classificação das informações, atribuição de regras e responsabilidades e, descrição de procedimentos que envolvem a TI como um todo. 
e. É nesta fase que serão formalizados os procedimentos junto à alta administração. 
Feedback
A resposta correta é: Nesta fase serão obtidas informações iniciais sobre os ambientes de negócios, bem como o entendimento das necessidades e uso dos recursos tecnológicos nos processos da instituição..
Questão 5
Correto
Marcar questão
Texto da questão
Sobre o “Anexo A” da norma NBR ISO/IEC 27001:2013, assinale a afirmativa correta:
Escolha uma:
a. Trata-se da descrição de controles com os mesmos nomes dos controles da norma ISO 27002. 
Tema: Norma NBR/ISO 27001:2013, opção (A). O Anexo A da ISO 27001 apresenta forte relacionamento com a norma ISO 27002. Neste anexo os controles são apresentados em apenas uma frase, porém na norma ISO 27002 os mesmos controles são detalhados em páginas inteiras. Fonte: Cap 2, pag. 9
b. Trata-se de um glossário completo com termos técnicos fundamentais para o entendimento da norma. 
c. Trata-se de um guia para obter a certificação da norma ISO 27001. 
d. Trata-se do detalhamento da abordagem Plan-Do-Check-Act (PDCA). 
e. Trata-se da descrição detalhada de como implementar um Sistema de Gestão de Segurança da Informação (SGSI). 
Feedback
A resposta correta é: Trata-se da descrição de controles com os mesmos nomes dos controles da norma ISO 27002..
Questão 6
Correto
Marcar questão
Texto da questão
Um dos tópicos da norma NBR ISO/IEC 27002:2013 é o tópico de Aquisição, Desenvolvimento e Manutenção de Sistemas. Assinale a alternativa que descreve corretamente este tópico:
Escolha uma:
a. Evidencia que é necessário garantir que a segurança da informação é parte integrante de todo o ciclo de vida dos sistemas de informação. 
Tema: Norma NBR ISO/IEC 27002:2013, opção (D). Os controles descritos no tópico de aquisição, desenvolvimento e manutenção de sistemas deixam claro que a integração com o ciclo de vida completo de sistemas é parte fundamental da aplicação da norma em uma organização. Fonte: Cap 2, pag. 10
b. Engloba a identificação dos ativos da organização e define as responsabilidades apropriadas para a proteção dos mesmos. 
c. Engloba a identificação dos ativos da organização e define as responsabilidades apropriadas para a proteção dos mesmos. 
d. O acesso físico às instalações e à infraestrutura de apoio deve ser monitorizado e restrito. 
e. Nesta seção são abordados aspectos de orientação para assegurar o uso efetivo e adequado da criptografia. 
Feedback
A resposta correta é: Evidencia que é necessário garantir que a segurança da informação é parte integrante de todo o ciclo de vida dos sistemas de informação..
Questão 7
Correto
Marcar questão
Texto da questão
De forma a reunir diversas normas de segurança da informação, a ISO criou a série 27000. As duas principais normas desta família, e mais amplamente utilizadas, são as normas:
Escolha uma:
a. ISO 27009 e ISO 27017 
b. ISO 27001 e ISO 27009 
c. ISO 27007 e ISO 27009 
d. ISO 27009 e ISO 27013 
e. ISO 27001 e ISO 27002 
Tema: Introdução às normas e padrões de segurança da informação, opção (E). A norma ISO 27001 é a principal norma que uma organização deve utilizar como base para obter a certificação empresarial em gestão da segurança da informação sendo a única norma internacional que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI) e a ISO 27002 é um conjunto completo de controles que auxiliam a aplicação do SGSI. Fonte: Cap 2, pag. 2
Feedback
A resposta correta é: ISO 27001 e ISO 27002.
Questão 8
Correto
Marcar questão
Texto da questão
Sobre Sistema de Gestão de Segurança da Informação (SGSI), é INCORRETO afirmar:
Escolha uma:
a. Na prática, quando uma instituição implanta a norma ISO 27001 acaba por constituir um SGSI. 
b. É o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como são reduzidos os riscos para a segurança da informação. 
c. Um SGSI é de fundamental importância para empresas do setor privado, porém não se aplica ao setor público. 
Tema: Norma NBR/ISO 27001:2013, opção (E). A aplicação do SGSI é de fundamental importância tanto para o setor público como para o setor privado. Fonte: Cap 2, pag. 3,4
d. Se a organização tem uma necessidade simples, isto requer uma solução simples de SGSI. 
e. A implantação de um SGSI pode contribuir muito para a garantia da reputação de uma organização. 
Feedback
A resposta correta é: Um SGSI é de fundamental importância para empresas do setor privado, porém não se aplica ao setor público..
Questão 9
Correto
Marcar questão
Texto da questão
Sobre a utilização de recursos de TI em uma organização, assinale a alternativa incorreta:
Escolha uma:
a. É de fundamental importância que a organização possua uma política de utilização dos recursos de TI bem definida. 
b. A maioria dos incidentes de segurança da informação ocorrem no ambiente interno das organizações. 
c. Os colaboradores da instituição devem ter ciência de que o uso dos recursos tecnológicos deve ser feito apenas para atividades diretamente relacionadas aos negócios da organização. 
d. Os usuários finais devem ter acesso privilegiado para instalação de softwares, visto que tal prática não representa risco significativo à segurança da informação. 
Tema: Utilização dos recursos deTI, opção (D). Os usuários finais não devem ter acesso privilegiado para instalação de aplicativos em suas estações de trabalho, visto que tal prática por representar riscos, como a instalação de malwares, pois o usuário final não possui, via de regra, conhecimento técnico suficiente para evitar tais incidentes. Fonte: Cap 3, pag. 1
e. Cabe à equipe de TI disponibilizar aos colaboradores (funcionários ou terceiros) somente os recursos tecnológicos que irão auxiliá-los no desempenho de suas funções e execução de seus trabalhos. 
Feedback
A resposta correta é: Os usuários finais devem ter acesso privilegiado para instalação de softwares, visto que tal prática não representa risco significativo à segurança da informação..
Questão 10
Correto
Marcar questão
Texto da questão
Quanto à segurança em datacenter, é correto afirmar que:
Escolha uma:
a. Tornou-se obsoleto, visto que o armazenamento em nuvem substituiu a necessidade de uso de datacenter. 
b. A instalação de um firewall é suficiente para garantia de segurança em datacenter. 
c. A segurança em datacenter é regida pela norma BS7799. 
d. Possui quatro requisitos de segurança básicos, sendo eles: controle de acesso, manutenção periódica, prostração contra danos e refrigeração do ambiente. 
Segurança em datacenter, opção (C)Os requisitos básicos de segurança devem ser seguidos para garantia da segurança das informações que os datacenters armazenam. Fonte: Cap 3, pag. 3,4
e. Não é necessário o investimento maciço em segurança de datacenter, visto que as aplicações desenvolvidas atualmente possuem mecanismos de proteção suficientes para garantia da segurança da informação. 
Feedback
A resposta correta é: Possui quatro requisitos de segurança básicos, sendo eles: controle de acesso, manutenção periódica, prostração contra danos e refrigeração do ambiente..
Questão 1
Incorreto
Marcar questão
Texto da questão
Sobre tipos de backup é correto afirmar:
Escolha uma:
a. Os backups incrementais consistem em backups de todos os dados que foram alterados desde o último backup completo. 
b. Backup completo é a soma de um backup diferencial com um backup incremental. 
c. Os backups diferenciais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup. 
d. Os backups diferenciais são mais seguros que os backups incrementais. 
Tema: Política de backup e restore.A estratégia de backups diferenciais ou incrementais deve ser adotada de acordo com a disponibilidade de recursos e necessidades da organização. Backups diferenciais são cópias de todos os dados que foram alterados desde o último backup completo, diferentemente do incremental onde são copiados apenas os dados que foram alterados desde a última tarefa de backup. Fonte: Cap 3, pag. 18,19.
e. Os backups incrementais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup. 
Feedback
A resposta correta é: Os backups incrementais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup..
Questão 2
Incorreto
Marcar questão
Texto da questão
Quanto a conceitos complementares de criptografia, selecione a alternativa que descreve um ataque de força bruta:
Escolha uma:
a. Consiste de verificação sistemática de todas as possíveis chaves e senhas até que as corretas sejam encontradas. No pior dos casos, isto envolveria percorrer todo o espaço de busca. 
b. É um ataque que necessita alto poder de processamento, não sendo possível realiza-lo com um computador doméstico. 
Tema: Criptografia.O ataque de força bruta também é conhecido como busca exaustiva de chaves e pode, em teoria, ser utilizado contra quaisquer dados criptografados. Fonte: Cap 4, pag. 14
c. É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e caracteres especiais. 
d. É um ataque que consiste na tentativa de reverter um algoritmo de chave simétrico. 
e. É um ataque onde são utilizadas senhas armazenadas em um dicionário. 
Feedback
A resposta correta é: Consiste de verificação sistemática de todas as possíveis chaves e senhas até que as corretas sejam encontradas. No pior dos casos, isto envolveria percorrer todo o espaço de busca..
Questão 3
Incorreto
Marcar questão
Texto da questão
Sobre autenticação de fator múltiplo, analise as sentenças abaixo: 
I O fator de conhecimento inclui algo que o usuário sabe, como por exemplo, uma senha. 
II O fator de herança inclui algo que o usuário possui, como um token. 
III O PIN é um fator de posse. 
IV A biometria é um fator de herança. 
Está correto o que consta em:
Escolha uma:
a. I, somente. 
b. I, III e IV, somente. 
c. I e IV, somente. 
d. III e IV, somente. 
Tema: Política de senhas. A alternativas I e IV são verdadeiras. A alternativa II é falsa pois o token é um fator de posse. A alternativa III é falsa pois o PIN é um fator de conhecimento. Fonte: Cap 3, pag. 16
e. IV, somente. 
Feedback
A resposta correta é: I e IV, somente..
Questão 4
Incorreto
Marcar questão
Texto da questão
Quanto à segurança no tratamento de mídias, é correto afirmar:
Escolha uma:
a. Sempre que uma mídia de armazenamento seja descartada, deve-se considerar o uso de procedimentos para assegurar a eliminação adequada da informação. 
b. Não existem normas que tratam do descarte de mídias de forma segura. 
c. O descarte correto de mídias é minuciosamente tratado na norma ISO 31000. 
d. Uma das boas práticas, no caso de mídias ópticas, é a utilização de ferramentas de formatação de baixo nível. 
e. Quanto menor o nível de classificação da informação, maior deverá ser a garantia de que as informações não podem ser recuperadas após a eliminação. 
Tema: Segurança no tratamento de mídias.É preciso considerar que as informações armazenadas em mídias podem conter conteúdo confidencial, portanto não devem ser descartadas sem o devido cuidado com a segurança da informação. Fonte: Cap 3, pag. 24,25
Feedback
A resposta correta é: Sempre que uma mídia de armazenamento seja descartada, deve-se considerar o uso de procedimentos para assegurar a eliminação adequada da informação..
Questão 5
Incorreto
Marcar questão
Texto da questão
Quanto ao ciclo de vida da Engenharia Social, é correto afirmar:
Escolha uma:
a. A coleta é uma fase pós-ataque, onde o engenheiro social utiliza a informação obtida para fins ilícitos. 
b. A etapa de relação de confiança é a fase na qual o atacante passa a desenvolver um relacionamento com o alvo, uma vez que estes possíveis alvos foram enumerados. 
c. A etapa de manipulação psicológica é a etapa de levantamento de informações sobre o(s) alvo(s) e o ambiente circunvizinho a este. 
Tema: Engenharia Social.E etapa de relação de confiança é a fase imediatamente após a fase de levantamento de informações (coleta), onde o atacante procura ganhar a confiança da vítima. Fonte: Cap 5, pag. 2,3
d. A etapa de manipulação psicológica é o primeiro passo em um ataque de engenharia social. 
e. Não existe ciclo de vida de um ataque de engenharia social, visto que cada ataque é único. 
Feedback
A resposta correta é: A etapa de relação de confiança é a fase na qual o atacante passa a desenvolver um relacionamento com o alvo, uma vez que estes possíveis alvos foram enumerados..
Questão 6
Incorreto
Marcar questão
Texto da questão
Sobre forense computacional, é correto afirmar que:
Escolha uma:
a. Quando ocorre um incidente de segurança em uma empresa, não é necessário observar procedimentos de preservação de evidências. 
b. A aplicação de metodologias forenses pode ser aplicada por qualquer usuário leigo, não necessitando de peritos especialistas nesta área. 
c. Não é possível recuperar informações a partir de fragmentos de arquivos. 
Tema: Forense computacional.A ciência forense computacional é bastante utilizada no universo jurídico, visto que trata-se de produção de provas em ações cíveis e criminais. Fonte: Cap 4, pag. 24
d. A área de forense computacional não possui ligação com crimes cibernéticos, sendo restrita somente a incidentesde segurança que não envolvam quebra de leis. 
e. A área de forense computacional consiste no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo. 
Feedback
A resposta correta é: A área de forense computacional consiste no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo..
Questão 7
Incorreto
Marcar questão
Texto da questão
Um dos profissionais especialistas em segurança da informação tem um destaque especial, por efetuar o papel de coordenação da equipe de segurança, é o denominado Security Officer, ou agente de segurança. As sentenças abaixo destacam as qualificações de um Security Officer, EXCETO:
Escolha uma:
a. Dominar técnicas de engenharia social. 
b. Excelente capacidade de comunicação. 
c. Capacidade de conciliar os interesses de segurança com os interesses do negócio. 
d. Certificações e especializações na área de segurança da informação. 
Tema: Papel dos profissionais da segurança da informação.A alternativa é incorreta pois não faz parte dos requisitos básicos deste profissional o domínio de técnicas de engenharia social. Fonte: Cap 5, pag. 10,11,12
e. Familiaridade com termos e conceitos da área. 
Feedback
A resposta correta é: Dominar técnicas de engenharia social..
Questão 8
Incorreto
Marcar questão
Texto da questão
Sobre gerenciamento de riscos em segurança da informação, é correto afirmar:
Escolha uma:
a. É um conjunto de políticas, procedimentos e vários outros controles que definem as regras de segurança da informação em uma organização. 
Tema: Introdução ao gerenciamento de riscos em segurança da informação.As empresas têm percebido que a existência de riscos, sem o devido tratamento são prejudiciais aos resultados, pois sua ocorrência pode afetar as operações do negócio, por isto a importância do gerenciamento de riscos em uma organização. Fonte: Cap 6, pag. 1
b. É o padrão atual da indústria para implantar o gerenciamento de serviços de TI. 
c. É um sistema de apoio à decisão para o negócio de uma organização. 
d. É o processo que habilita os administradores a identificar, priorizar e avaliar os custos operacionais de implantação de medidas de proteção aos sistemas de informação, bem como os dados que dão suporte à missão de uma organização. 
e. É baseado em controles, para servir como referência a uma organização que deseja ter uma governança de TI mais controlada. 
Feedback
A resposta correta é: É o processo que habilita os administradores a identificar, priorizar e avaliar os custos operacionais de implantação de medidas de proteção aos sistemas de informação, bem como os dados que dão suporte à missão de uma organização..
Questão 9
Correto
Marcar questão
Texto da questão
Sobre a integração do gerenciamento de riscos com o ciclo de vida de desenvolvimento de sistemas (CVDS), no contexto da segurança da informação, é correto afirmar:
Escolha uma:
a. A metodologia de gerenciamento de riscos não pode ser integrada ao CVDS. 
b. Na fase 2 do CVDS (desenvolvimento ou aquisição), as atividades de gerenciamento de risco são executadas para componentes do sistema que serão descartados ou substituídos. 
c. O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa para cada fase principal do CVDS. 
Tema: Gerenciamento de riscos em segurança da informação aplicado ao CVDS.Um processo iterativo é um processo que se repete diversas vezes para se chegar a um resultado parcial, que pode ser utilizado no próximo ciclo. Isto pode ser aplicado ao gerenciamento de riscos para cada ciclo do CVDS. Fonte: Cap 6, pag. 2,3
d. O gerenciamento de riscos é um processo que deve ser realizado de forma única para cada fase principal do CVDS. 
e. Na fase 4 do CVDS (operação ou manutenção), os riscos identificados são usados para suportar o desenvolvimento dos requisitos do sistema, incluindo os requisitos de segurança, e conceitos de segurança de operações. 
Feedback
A resposta correta é: O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa para cada fase principal do CVDS..
Questão 10
Correto
Marcar questão
Texto da questão
Quanto ao gerenciamento de riscos em segurança da informação, a etapa de identificação de vulnerabilidades apresenta os seguintes aspectos, EXCETO:
Escolha uma:
a. Os métodos proativos, que empregam testes de segurança do sistema, podem ser usados para identificar eficientemente as vulnerabilidades. 
b. Nesta etapa são identificadas as vulnerabilidades do sistema que podem ser exploradas pelas potenciais fontes de ameaças. 
c. Existem testes que podem auxiliar nesta tarefa, como por exemplo testes de invasão ativos (pentest). 
d. Orienta quanto aos procedimentos a fim de evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de quaisquer requisitos de segurança. 
Tema: Avaliação de riscos.A sentença descrita na opção não apresenta relação com a etapa de identificação de vulnerabilidades. Fonte: Cap 6, pag. 7,8
e. Um exemplo de vulnerabilidade que pode ser citado é o fato dos usuários demitidos não serem bloqueados nos sistemas de informação. 
Feedback
A resposta correta é: Orienta quanto aos procedimentos a fim de evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de quaisquer requisitos de segurança..
Questão 1
Incorreto
Marcar questão
Texto da questão
Sobre política de backup é correto afirmar:
Escolha uma:
a. A guarda de backup em local físico diferente da sede de uma organização não é recomendada, visto a dificuldade de recuperação em caso de desastre. 
b. Somente dados críticos necessitam de backup. 
c. De um modo geral as políticas de backup consistem em capturar um backup completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou diferenciais. 
d. Backups completos devem ser realizados diariamente. 
De um modo geral as políticas de backup consistem em capturar um backup completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou diferenciais.
e. Backup em discos são mais seguros do que backup em fitas. 
Feedback
A resposta correta é: De um modo geral as políticas de backup consistem em capturar um backup completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou diferenciais..
Questão 2
Incorreto
Marcar questão
Texto da questão
Quanto às categorias de malwares, analise as sentenças abaixo: 
I- Vírus é um programa que se autorreplica após alguma ação do usuário. 
Worm é um programa que se autorreplica sem a necessidade de ação do usuário. 
II- Ransomware é um malware menos perigoso, pois sua função é exibir publicidade ao usuário. 
III-Spyware é um malware que monitora o equipamento do usuário e efetua coleta de informações do mesmo. 
IV-Está correto o que consta em:
Escolha uma:
a. I e II, apenas. 
b. I e IV, apenas. 
c. IV, apenas. 
d. I,II,III,IV. 
Tema: Software malicioso.A alternativas I, II e IV são verdadeiras. A alternativa III é falsa pois o ransomware é uma categoria de malware perigosa, que efetua o sequestro dos dados do usuário, criptografando os mesmos, e exigindo valor monetário como resgate. Fonte: Cap 4, pag. 1,2
e. I,II e IV apenas 
Feedback
A resposta correta é: I,II e IV apenas.
Questão 3
Incorreto
Marcar questão
Texto da questão
Quanto aos softwares antivírus, é correto afirmar:
Escolha uma:
a. Uma assinatura de vírus é baseada em um segmento único de código-fonte dentro do malware. 
b. Os vírus são criados pelas próprias empresa de antivírus, que visam o lucro pela venda de suas ferramentas. 
c. Soluções gratuitas não oferecem proteção contra malwares.d. Funciona somente com detecção de assinatura de malware estática. 
e. É um tipo de malware. 
Tema: Proteção contra software malicioso.O software antivírus reconhece o programa como vírus ao efetuar a comparação entre o código-fonte do programa em execução com a sua base de dados de assinaturas de vírus. Fonte: Cap 4, pag. 3
Feedback
A resposta correta é: Uma assinatura de vírus é baseada em um segmento único de código-fonte dentro do malware..
Questão 4
Incorreto
Marcar questão
Texto da questão
Quanto ao desenvolvimento de aplicações seguras, dentro de um ambiente seguro, podemos elencar algumas boas práticas de programação. Assinale a alternativa que contém algumas destas boas práticas:
Escolha uma:
a. Utilizar criptografia fraca, operar com menos privilégio, tratar entrada e saída de dados. 
b. Operar com menos privilégio, minimizar o uso de strings inseguras e funções de buffer, tratar entrada e saída de dados. 
c. Maximizar o uso de strings inseguras e funções de buffer, operar com menos privilégio, evitar concatenações de strings para cláusulas de SQL dinâmicas. 
d. Operar com menos privilégio, utilizar concatenações de strings para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca. 
e. Utilizar registros de acesso (log) e rastreamento, utilizar concatenações de strings para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca. 
Tema: Segurança no desenvolvimento de software.Operar com menos privilégio auxilia na redução de danos, caso o sistema seja comprometido. A utilização de strings inseguras e funções de buffer deve ser evitada, pois apresentam vulnerabilidades de corrupção de memória. As entradas e saídas de dados devem ser validadas a fim de rejeitar dados em não-conformidade. Fonte: Cap 4, pag. 7,8,9
Feedback
A resposta correta é: Operar com menos privilégio, minimizar o uso de strings inseguras e funções de buffer, tratar entrada e saída de dados..
Questão 5
Incorreto
Marcar questão
Texto da questão
As sentenças abaixo apresentam estratégias de defesa contra engenharia social, EXCETO:
Escolha uma:
a. Investir em equipamento triturador. 
Tema: Engenharia Social.A defesa contra a engenharia social é alcançada com a implementação de boas práticas de segurança que auxiliem na proteção da empresa, não existindo um software específico para tal ação. Fonte: Cap 5, pag. 7,8
b. Estabelecer um padrão para que as senhas nunca sejam pronunciadas por telefone. 
c. Investir em software específico disponível para proteger uma empresa contra a engenharia social. 
d. Exigir que qualquer prestador de serviço seja cadastrado e identificado apropriadamente. 
e. Implementar tecnologias de identificação de chamadas de/ou para o suporte. 
Feedback
A resposta correta é: Investir em software específico disponível para proteger uma empresa contra a engenharia social..
Questão 6
Correto
Marcar questão
Texto da questão
Quanto ao processo de assinatura digital, analise as sentenças abaixo: 
I-As assinaturas digitais usam um formato padrão aceito mundialmente, denominado Public Key Infrastructure (PKI). 
II-A PKI é um sistema criptográfico simétrico. 
III-Para assinar digitalmente documentos, um usuário precisa obter um par de chaves: chave pública e chave privada, através de um certificado digital. 
IV-O receptor do documento utiliza a chave pública do emissor para descriptografar a assinatura. Se a chave pública não puder descriptografar a assinatura (através da comparação dos hashes), isso significa que a assinatura não poderá ser validada. 
Está correto o que consta em:
Escolha uma:
a. I, III e IV, apenas. 
Tema: Assinatura Digital.A alternativas I, III e IV são verdadeiras. A alternativa II é falsa pois a PKI é um sistema criptográfico assimétrico, que utiliza o par de chaves (pública e privada). Fonte: Cap 4, pag. 21,22,23.
b. III, apenas. 
c. II e IV, apenas. 
d. I,II e III, apenas. 
e. I,II,III,IV. 
Feedback
A resposta correta é: I, III e IV, apenas..
Questão 7
Correto
Marcar questão
Texto da questão
Quanto a certificados digitais, NÃO é correto afirmar:
Escolha uma:
a. Existem autoridades certificadores abaixo do ICP-Brasil, como por exemplo Serpro, Certsign, Serasa Experian. 
b. O certificado digital contém, além da chave pública, informações sobre seu proprietário, como nome, endereço e outros dados pessoais. 
c. O certificado é assinado por alguém em quem o proprietário deposita sua confiança, ou seja, uma autoridade certificadora (Certification Authority - CA), funcionando como uma espécie de “cartório virtual”. 
d. O certificado digital só pode ser emitido por uma Autoridade Certificadora Raiz (AC-Raiz). 
Tema: Certificados digitais.Os certificados digitais são emitidos pelas Autoridades Certificadoras (AC) e Autoridades de Registro (AR). Fonte: Cap 4, pag. 20,21
e. No Brasil, o órgão da autoridade certificadora raiz é o ICP-Brasil. 
Feedback
A resposta correta é: O certificado digital só pode ser emitido por uma Autoridade Certificadora Raiz (AC-Raiz)..
Questão 8
Correto
Marcar questão
Texto da questão
Quanto ao ciclo de vida da Engenharia Social, é correto afirmar:
Escolha uma:
a. A etapa de manipulação psicológica é o primeiro passo em um ataque de engenharia social. 
b. A etapa de relação de confiança é a fase na qual o atacante passa a desenvolver um relacionamento com o alvo, uma vez que estes possíveis alvos foram enumerados. 
Tema: Engenharia Social.E etapa de relação de confiança é a fase imediatamente após a fase de levantamento de informações (coleta), onde o atacante procura ganhar a confiança da vítima. Fonte: Cap 5, pag. 2,3
c. Não existe ciclo de vida de um ataque de engenharia social, visto que cada ataque é único. 
d. A coleta é uma fase pós-ataque, onde o engenheiro social utiliza a informação obtida para fins ilícitos. 
e. A etapa de manipulação psicológica é a etapa de levantamento de informações sobre o(s) alvo(s) e o ambiente circunvizinho a este. 
Feedback
A resposta correta é: A etapa de relação de confiança é a fase na qual o atacante passa a desenvolver um relacionamento com o alvo, uma vez que estes possíveis alvos foram enumerados..
Questão 9
Incorreto
Marcar questão
Texto da questão
Quanto a estratégias para mitigação de riscos, no contexto de gerenciamento de riscos em segurança da informação, é correto afirmar:
Escolha uma:
a. Se o custo do ataque é menor que o ganho, então o risco não é aceitável. 
b. Se o projeto do sistema é vulnerável e não explorável, o risco é existente. 
Tema: Estratégia de mitigação de riscos, Quando o custo do ataque é menor do que o ganho o risco é aceitável pois um atacante terá baixo interesse em prosseguir com o ataque. Fonte: Cap 6, pag. 16
c. Se o custo do ataque é maior que o ganho, então o risco não é aceitável. 
d. Se o projeto do sistema é vulnerável e explorável, o risco é inexistente. 
e. Se o projeto do sistema não é vulnerável, o risco é existente. 
Feedback
A resposta correta é: Se o custo do ataque é menor que o ganho, então o risco não é aceitável..
Questão 10
Incorreto
Marcar questão
Texto da questão
Quanto ao gerenciamento de riscos em segurança da informação, a etapa de identificação de vulnerabilidades apresenta os seguintes aspectos, EXCETO:
Escolha uma:
a. Nesta etapa são identificadas as vulnerabilidades do sistema que podem ser exploradas pelas potenciais fontes de ameaças. 
b. Um exemplo de vulnerabilidade que pode ser citado é o fato dos usuários demitidos não serem bloqueados nos sistemas de informação. 
c. Existem testes que podem auxiliar nesta tarefa, como por exemplo testes de invasão ativos (pentest). 
d. Os métodos proativos, que empregam testes de segurança do sistema, podem ser usados para identificar eficientemente as vulnerabilidades. 
Tema: Avaliação de riscos.A sentença descrita na opção não apresenta relação com a etapa de identificação de vulnerabilidades. Fonte: Cap 6, pag. 7,8
e. Orienta quanto aos procedimentos a fim de evitar violação de quaisquer obrigações legais,estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de quaisquer requisitos de segurança. 
Feedback
A resposta correta é: Orienta quanto aos procedimentos a fim de evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de quaisquer requisitos de segurança..
Quanto ao desenvolvimento de aplicações seguras, dentro de um ambiente seguro, podemos elencar algumas boas práticas de programação. Assinale a alternativa que contém algumas destas boas práticas:
Escolha uma:
a. Maximizar o uso de strings inseguras e funções de buffer, operar com menos privilégio, evitar concatenações de strings para cláusulas de SQL dinâmicas. 
b. Utilizar criptografia fraca, operar com menos privilégio, tratar entrada e saída de dados. 
c. Operar com menos privilégio, minimizar o uso de strings inseguras e funções de buffer, tratar entrada e saída de dados. 
d. Utilizar registros de acesso (log) e rastreamento, utilizar concatenações de strings para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca. 
e. Operar com menos privilégio, utilizar concatenações de strings para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca. 
Tema: Segurança no desenvolvimento de software.Operar com menos privilégio auxilia na redução de danos, caso o sistema seja comprometido. A utilização de strings inseguras e funções de buffer deve ser evitada, pois apresentam vulnerabilidades de corrupção de memória. As entradas e saídas de dados devem ser validadas a fim de rejeitar dados em não-conformidade. Fonte: Cap 4, pag. 7,8,9
Feedback
A resposta correta é: Operar com menos privilégio, minimizar o uso de strings inseguras e funções de buffer, tratar entrada e saída de dados..
Questão 2
Correto
Marcar questão
Texto da questão
Quanto a conceitos complementares de criptografia, selecione a alternativa que descreve um ataque de força bruta:
Escolha uma:
a. É um ataque que necessita alto poder de processamento, não sendo possível realiza-lo com um computador doméstico. 
b. É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e caracteres especiais. 
c. Consiste de verificação sistemática de todas as possíveis chaves e senhas até que as corretas sejam encontradas. No pior dos casos, isto envolveria percorrer todo o espaço de busca. 
Tema: Criptografia.O ataque de força bruta também é conhecido como busca exaustiva de chaves e pode, em teoria, ser utilizado contra quaisquer dados criptografados. Fonte: Cap 4, pag. 14
d. É um ataque que consiste na tentativa de reverter um algoritmo de chave simétrico. 
e. É um ataque onde são utilizadas senhas armazenadas em um dicionário. 
Feedback
A resposta correta é: Consiste de verificação sistemática de todas as possíveis chaves e senhas até que as corretas sejam encontradas. No pior dos casos, isto envolveria percorrer todo o espaço de busca..
Questão 3
Correto
Marcar questão
Texto da questão
Sobre política de backup é correto afirmar:
Escolha uma:
a. Backup em discos são mais seguros do que backup em fitas. 
b. De um modo geral as políticas de backup consistem em capturar um backup completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou diferenciais. 
De um modo geral as políticas de backup consistem em capturar um backup completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou diferenciais.
c. A guarda de backup em local físico diferente da sede de uma organização não é recomendada, visto a dificuldade de recuperação em caso de desastre. 
d. Somente dados críticos necessitam de backup. 
e. Backups completos devem ser realizados diariamente. 
Feedback
A resposta correta é: De um modo geral as políticas de backup consistem em capturar um backup completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou diferenciais..
Questão 4
Correto
Marcar questão
Texto da questão
Quanto aos softwares antivírus, é correto afirmar:
Escolha uma:
a. Uma assinatura de vírus é baseada em um segmento único de código-fonte dentro do malware. 
Tema: Proteção contra software malicioso.O software antivírus reconhece o programa como vírus ao efetuar a comparação entre o código-fonte do programa em execução com a sua base de dados de assinaturas de vírus. Fonte: Cap 4, pag. 3
b. Funciona somente com detecção de assinatura de malware estática. 
c. Os vírus são criados pelas próprias empresa de antivírus, que visam o lucro pela venda de suas ferramentas. 
d. Soluções gratuitas não oferecem proteção contra malwares. 
e. É um tipo de malware. 
Feedback
A resposta correta é: Uma assinatura de vírus é baseada em um segmento único de código-fonte dentro do malware..
Questão 5
Correto
Marcar questão
Texto da questão
As sentenças abaixo apresentam estratégias de defesa contra engenharia social, EXCETO:
Escolha uma:
a. Investir em equipamento triturador. 
b. Investir em software específico disponível para proteger uma empresa contra a engenharia social. 
Tema: Engenharia Social.A defesa contra a engenharia social é alcançada com a implementação de boas práticas de segurança que auxiliem na proteção da empresa, não existindo um software específico para tal ação. Fonte: Cap 5, pag. 7,8
c. Exigir que qualquer prestador de serviço seja cadastrado e identificado apropriadamente. 
d. Estabelecer um padrão para que as senhas nunca sejam pronunciadas por telefone. 
e. Implementar tecnologias de identificação de chamadas de/ou para o suporte. 
Feedback
A resposta correta é: Investir em software específico disponível para proteger uma empresa contra a engenharia social..
Questão 6
Correto
Marcar questão
Texto da questão
Sobre gerenciamento de riscos em segurança da informação, é correto afirmar:
Escolha uma:
a. É um sistema de apoio à decisão para o negócio de uma organização. 
b. É um conjunto de políticas, procedimentos e vários outros controles que definem as regras de segurança da informação em uma organização. 
c. É o padrão atual da indústria para implantar o gerenciamento de serviços de TI. 
d. É o processo que habilita os administradores a identificar, priorizar e avaliar os custos operacionais de implantação de medidas de proteção aos sistemas de informação, bem como os dados que dão suporte à missão de uma organização. 
Tema: Introdução ao gerenciamento de riscos em segurança da informação.As empresas têm percebido que a existência de riscos, sem o devido tratamento são prejudiciais aos resultados, pois sua ocorrência pode afetar as operações do negócio, por isto a importância do gerenciamento de riscos em uma organização. Fonte: Cap 6, pag. 1
e. É baseado em controles, para servir como referência a uma organização que deseja ter uma governança de TI mais controlada. 
Feedback
A resposta correta é: É o processo que habilita os administradores a identificar, priorizar e avaliar os custos operacionais de implantação de medidas de proteção aos sistemas de informação, bem como os dados que dão suporte à missão de uma organização..
Questão 7
Correto
Marcar questão
Texto da questão
Sobre forense computacional, é correto afirmar que:
Escolha uma:
a. Não é possível recuperar informações a partir de fragmentos de arquivos. 
b. A área de forense computacional consiste no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo. 
Tema: Forense computacional.A ciência forense computacional é bastante utilizada no universo jurídico, visto que trata-se de produção de provas em ações cíveis e criminais. Fonte: Cap 4, pag. 24
c. A área de forense computacional não possui ligação com crimes cibernéticos, sendo restrita somente a incidentes de segurança que não envolvam quebra de leis. 
d. A aplicação de metodologias forenses pode ser aplicada por qualquer usuárioleigo, não necessitando de peritos especialistas nesta área. 
e. Quando ocorre um incidente de segurança em uma empresa, não é necessário observar procedimentos de preservação de evidências. 
Feedback
A resposta correta é: A área de forense computacional consiste no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo..
Questão 8
Correto
Marcar questão
Texto da questão
Quanto ao processo de assinatura digital, analise as sentenças abaixo: 
I-As assinaturas digitais usam um formato padrão aceito mundialmente, denominado Public Key Infrastructure (PKI). 
II-A PKI é um sistema criptográfico simétrico. 
III-Para assinar digitalmente documentos, um usuário precisa obter um par de chaves: chave pública e chave privada, através de um certificado digital. 
IV-O receptor do documento utiliza a chave pública do emissor para descriptografar a assinatura. Se a chave pública não puder descriptografar a assinatura (através da comparação dos hashes), isso significa que a assinatura não poderá ser validada. 
Está correto o que consta em:
Escolha uma:
a. I, III e IV, apenas. 
Tema: Assinatura Digital.A alternativas I, III e IV são verdadeiras. A alternativa II é falsa pois a PKI é um sistema criptográfico assimétrico, que utiliza o par de chaves (pública e privada). Fonte: Cap 4, pag. 21,22,23.
b. II e IV, apenas. 
c. I,II e III, apenas. 
d. III, apenas. 
e. I,II,III,IV. 
Feedback
A resposta correta é: I, III e IV, apenas..
Questão 9
Correto
Marcar questão
Texto da questão
Sobre a integração do gerenciamento de riscos com o ciclo de vida de desenvolvimento de sistemas (CVDS), no contexto da segurança da informação, é correto afirmar:
Escolha uma:
a. O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa para cada fase principal do CVDS. 
Tema: Gerenciamento de riscos em segurança da informação aplicado ao CVDS.Um processo iterativo é um processo que se repete diversas vezes para se chegar a um resultado parcial, que pode ser utilizado no próximo ciclo. Isto pode ser aplicado ao gerenciamento de riscos para cada ciclo do CVDS. Fonte: Cap 6, pag. 2,3
b. Na fase 2 do CVDS (desenvolvimento ou aquisição), as atividades de gerenciamento de risco são executadas para componentes do sistema que serão descartados ou substituídos. 
c. Na fase 4 do CVDS (operação ou manutenção), os riscos identificados são usados para suportar o desenvolvimento dos requisitos do sistema, incluindo os requisitos de segurança, e conceitos de segurança de operações. 
d. A metodologia de gerenciamento de riscos não pode ser integrada ao CVDS. 
e. O gerenciamento de riscos é um processo que deve ser realizado de forma única para cada fase principal do CVDS. 
Feedback
A resposta correta é: O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa para cada fase principal do CVDS..
Questão 10
Correto
Marcar questão
Texto da questão
Quanto a estratégias para mitigação de riscos, no contexto de gerenciamento de riscos em segurança da informação, é correto afirmar:
Escolha uma:
a. Se o custo do ataque é menor que o ganho, então o risco não é aceitável. 
Tema: Estratégia de mitigação de riscos, Quando o custo do ataque é menor do que o ganho o risco é aceitável pois um atacante terá baixo interesse em prosseguir com o ataque. Fonte: Cap 6, pag. 16
b. Se o projeto do sistema é vulnerável e explorável, o risco é inexistente. 
c. Se o custo do ataque é maior que o ganho, então o risco não é aceitável. 
d. Se o projeto do sistema é vulnerável e não explorável, o risco é existente. 
e. Se o projeto do sistema não é vulnerável, o risco é existente. 
Feedback
A resposta correta é: Se o custo do ataque é menor que o ganho, então o risco não é aceitável..
Questão 1
Incorreto
Marcar questão
Texto da questão
Quanto à conceitos complementares relacionados a auditoria de sistemas de informação, o exame independente e objetivo afirma que:
Escolha uma:
a. A auditoria deve ser baseada na norma NBR ISO/IEC 27001:2013. 
Tema: Conceitos complementares de auditoria de sistemas de informação. É de fundamental importância a imparcialidade do auditor, visto que o contrário pode comprometer a validade do relatório de auditoria. Fonte: Cap 7, pag. 7,8
b. A auditoria deve ser realizada por pessoas que tenham profundo conhecimento das regras de negócio, de modo a assegurar a fidelidade no julgamento. 
c. A auditoria deve ser realizada somente por órgãos governamentais, como o TCU. 
d. A auditoria deve ser realizada por pessoas com independência em relação ao seu objeto, de modo a assegurar imparcialidade no julgamento. 
e. A auditoria deve ser realizada pelo agente (gestor do patrimônio do principal). 
Feedback
A resposta correta é: A auditoria deve ser realizada por pessoas com independência em relação ao seu objeto, de modo a assegurar imparcialidade no julgamento..
Questão 2
Incorreto
Marcar questão
Texto da questão
O Ciclo de Auditoria Operacional (ANOp) é uma abordagem para avaliação com foco na gestão pública. Assinale a alternativa que apresenta o órgão responsável por este guia:
Escolha uma:
a. INMETRO 
b. ISSO 
Tema: Ciclo de Auditoria Operacional – TCU. O TCU propõe no Ciclo de Auditoria Operacional (ANOp) uma abordagem para avaliação com foco na gestão pública. A abordagem do TCU é fortemente influenciada pela INTOSAI, e pelas normas internacionais de entidades fiscalizadoras superiores (ISSAI). Fonte: Cap 8 pag. 8
c. IEEE. 
d. INTOSAI 
e. TCU 
Feedback
A resposta correta é: TCU.
Questão 3
Incorreto
Marcar questão
Texto da questão
O IT Assurance Guide é um guia focado na avaliação dos controles internos de TI descritos no COBIT, e pode ser traduzido como Guia de Auditoria de TI. Assinale a alternativa que apresenta o órgão responsável por este guia:
Escolha uma:
a. TCU 
b. INMETRO. 
Tema: ISACA,opção (C). A ISACA disponibiliza alguns guias importantes entre eles o IT Assurance Guide. O título pode ser traduzido como Guia de Avaliação de TI. Focado na avaliação dos controles internos de TI descritos no COBIT. No título é usado o termo Assurance, ou avaliação este termo é mais abrangente do que o termo auditoria, no entanto a auditoria é um tipo de avaliação. Fonte: Cap 8 pag. 13
c. INTOSAI 
d. ISACA 
e. ISSO 
Feedback
A resposta correta é: ISACA.
Questão 4
Correto
Marcar questão
Texto da questão
A auditoria de sistemas de informação torna-se uma atividade importante e necessária ao proprietário que delega um patrimônio para ser gerido por um terceiro. Assinale a alternativa que apresenta o conceito de auditoria:
Escolha uma:
a. É o processo de assegurar se o desenvolvimento, implantação e manutenção de sistemas atingem os objetivos de negócio, segurança dos itens de informação e mantem a integridade dos dados. 
Tema: Objetivos da auditoria. A auditoria de sistemas de informação deve assegurar a validade, confiabilidade, e segurança da informação, garantindo também a integridade dos dados contidos nos sistemas. Fonte: Cap 7, pag. 6
b. É o processo que visa implementar os controles contidos no COBIT, entre eles confidencialidade, integridade e disponibilidade. 
c. É o processo que implementa a teoria da agência. 
d. É o um instrumento de governança com o intuito de verificar se os interesses do agente (gestor do patrimônio do proprietário) estão sendo atendidos. 
e. É o processo que verifica somente informações da área contábil. 
Feedback
A resposta correta é: É o processo de assegurar se o desenvolvimento, implantação e manutenção de sistemas atingem os objetivos de negócio, segurança dos itens de informação e mantem a integridade dos dados..
Questão 5
Incorreto
Marcar questão
Texto da questão
As Normas de Auditoria e Garantia dos Sistemas de Informação (SI) e as Diretrizes de Auditoria e Garantia de SI, são publicadas pela organização denominada:
Escolha uma:
a. IEEE. 
b.ISACA. 
c. ISO. 
Tema: Relatório de auditoria de sistemas de informação.Acrônimo para Information System Audit and Control Association (Associação de Auditoria e Controle de Sistemas de Informação). Uma associação que auxilia profissionais em todo o mundo atuando no desenvolvimento de metodologias e certificações.
d. INTOSAI. 
e. INMETRO. 
Feedback
A resposta correta é: ISACA..
Questão 6
Correto
Marcar questão
Texto da questão
Uma das técnicas utilizadas para auditoria de sistemas de informação é a técnica de inserção de dados de teste. A respeito desta técnica assinale a alternativa INCORRETA:
Escolha uma:
a. Esta técnica envolve o uso de um conjunto de dados especialmente projetados e preparados com o objetivo de testar as funcionalidades de entrada de dados no sistema. 
b. Antes das transações serem executadas, os resultados de teste esperado são predeterminados, para que os resultados reais possam ser comparados com os resultados predeterminados. 
c. Quanto menos combinações de transações puderem ser feitas no arquivo de carga, maior será a cobertura do teste. 
Tema: Técnicas de auditoria de sistemas de informação. A alternativa é incorreta pois quanto mais combinações de transações puderem ser feitas no arquivo de carga, maior será a cobertura do teste. Fonte: Cap 9 pag. 2
d. Não é necessário um avançado conhecimento de informática para a elaboração dos dados, o qual pode ser feito inclusive utilizando-se de softwares automatizados que tornam a tarefa mais simples. 
e. Os tipos gerais de condições que devem ser testados incluem, mas não se limitam a: testes de transações que ocorrem normalmente e testes usando dados inválidos. 
Feedback
A resposta correta é: Quanto menos combinações de transações puderem ser feitas no arquivo de carga, maior será a cobertura do teste..
Questão 7
Incorreto
Marcar questão
Texto da questão
Uma das técnicas utilizadas para auditoria de sistemas de informação é a técnica de simulação paralela. A respeito desta técnica assinale a alternativa correta:
Escolha uma:
a. Esta técnica processa os dados reais do cliente por meio de um programa de auditoria especialmente desenvolvido e que atende a toda a lógica necessária para o teste, simulando as funcionalidades do programa em produção. 
b. É uma técnica também conhecida como ITF. 
Tema: Técnicas de auditoria de sistemas de informação. Nesta técnica, diferentemente de outras, o auditor verifica o processamento de transações reais, permitindo que ele verifique os resultados reais do cliente. Fonte: Cap 9 pag. 4
c. É uma técnica que consiste na análise de um arquivo de log do tipo sysadmin. 
d. Esta técnica também é conhecida como “test data” ou “test deck”. 
e. É uma técnica que consiste em incluir a lógica de auditoria nos sistemas na fase de desenvolvimento. 
Feedback
A resposta correta é: Esta técnica processa os dados reais do cliente por meio de um programa de auditoria especialmente desenvolvido e que atende a toda a lógica necessária para o teste, simulando as funcionalidades do programa em produção..
Questão 8
Incorreto
Marcar questão
Texto da questão
Uma das etapas mais importantes quanto ao uso da ferramenta ACL para auditoria de sistemas de informação é a etapa de verificação de integridade dos dados. Assinale a alternativa que contém um elemento desta etapa:
Escolha uma:
a. Os totais numéricos correspondem aos totais de controle fornecidos pelo proprietário do dado. 
b. O auditor informa ao software ACL como ler e interpretar os dados que ele contém. 
c. O auditor considera o meio no qual receberá os dados e a capacidade do servidor de rede ou unidade de disco local. 
d. Os auditores começam o projeto com uma caneta e papel escrevendo de forma clara e inequívoca as declarações dos objetivos do projeto. 
Tema: Ferramentas de auditoria de sistemas de informação. Uma das formas de verificar a integridade dos dados é através da comparação entre os totais numéricos obtidos e os totais numéricos de controle. Fonte: Cap 10 pag. 7,8
e. O auditor adquire os dados para o projeto. 
Feedback
A resposta correta é: Os totais numéricos correspondem aos totais de controle fornecidos pelo proprietário do dado..
Questão 9
Correto
Marcar questão
Texto da questão
Consideram as afirmações: 
I - “O software Audit Command Language faz parte da categoria de softwares especializados em auditoria, visto que possui diversas funcionalidades, podendo ler bases de dados de diversos formatos.” 
II - O software IDEA permite auditoria baseada em gestão de risco, através de governança organizacional e alto desempenho operacional. 
III - As ferramentas específicas de auditoria de SI possuem a vantagem de serem desenvolvidas para uma demanda específica, por isso a eficiência da ferramenta é muito maior do que um software generalista, além de ter custo baixo de produção, visto que possui menos funcionalidades que necessitam ser desenvolvidas. 
Podemos dizer que:
Escolha uma:
a. I, II e III são falsas 
Comentário: I - O software especializado é desenvolvido para a execução de uma tarefa específica, diferentemente do software generalista, capaz de realizar tarefas diversificadas. II - Estas são características presentes no software Pentana. III - Comentários: O custo de desenvolvimento de uma ferramenta específica costuma ser oneroso, visto que trata-se de um software que atenderá somente a um cliente. Fonte: capítulo 10
b. Somente III é verdadeira 
c. I, II e III são verdadeiras 
d. II e III são falsas 
e. Somente II e III são verdadeiras 
Feedback
A resposta correta é: I, II e III são falsas.
Questão 10
Incorreto
Marcar questão
Texto da questão
Quanto à ferramenta IDEA (Interactive Data Extraction & Analisys) para auditoria de sistemas de informação, assinale a alternativa INCORRETA:
Escolha uma:
a. A ferramenta oferece a capacidade de importar quantidades massivas de dados de fontes diversas, incluindo sistemas ERP, planilhas, mainframes com sistemas legados, arquivos impressos, entre outros. 
b. O software IDEA inclui uma ferramenta de desenvolvimento conhecida como IDEAScript para criar macros a fim de estender a funcionalidade do IDEA. 
c. Trata-se de uma ferramenta específica de auditoria de SI, ou seja, desenvolvida especificamente para execução de uma tarefa determinada. 
d. O software usa projetos para organizar os arquivos a serem auditados. 
Tema: Ferramentas de auditoria de sistemas de informação. A ferramenta IDEA é uma ferramenta generalista de auditoria de SI. Fonte: Cap 10 pag. 10
e. O IDEA permite criar dois tipos de projetos de área de trabalho local: Gerenciado e Externo. 
Feedback
A resposta correta é: Trata-se de uma ferramenta específica de auditoria de SI, ou seja, desenvolvida especificamente para execução de uma tarefa determinada..
Questão 1
Incorreto
Marcar questão
Texto da questão
Uma das principais associações que auxiliam os profissionais auditores de sistemas de informação, responsável pela certificação CISA (Certified Information Systems Auditor) é a:
Escolha uma:
a. INMETRO
b. COBIT
Tema: Associações e certificações. A certificação CISA é mantida pela ISACA, uma associação que auxilia profissionais em todo o mundo atuando no desenvolvimento de metodologias e certificações. Fonte: Cap 7, pag. 17
c. ACL
d. ISSO
e. ISACA
Feedback
A resposta correta é: ISACA.
Questão 2
Incorreto
Marcar questão
Texto da questão
A norma ISO que apresenta um guia para auditoria de sistemas de gestão é a norma:
Escolha uma:
a. ISO 27002
Tema: Auditoria e padrões ISSO. A Norma ISO 19011:2011 não estabelece requisitos, mas fornece diretrizes sobre a gestão de um programa de auditoria, sobre o planejamento e a realização de uma auditoria de sistema de gestão, bem como sobre a competência e avaliação de um auditor e de uma equipe auditora. Fonte: Cap 8 pag. 15,16
b. ISO 9002
c. ISO 9001
d. ISO 27001
e. ISO 19011
Feedback
A resposta correta é: ISO 19011.
Questão 3
Correto
Marcar questão
Texto da questão
As diferentes abordagens