Gestão de Segurança da Informação Exercícios Aula 01 10

Prévia do material em texto

GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Teste de Conhecimento – Aulas 01 a 10
Aula 01
 1a Questão 
Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos
desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia
da informação em uma empresa. Neste contexto qual o objetivo fundamental da Segurança da
Informação?
 Visa à proteção de todos os ativos de uma empresa que contêm informações.
 2a Questão 
No contexto da segurança da informação as proteções são medidas que visam livrar os ativos de
situações que possam trazer prejuízos. Neste contexto elas podem ser: 
1) Físicas
2) Lógicas
3) Administrativas
 Analise as questões abaixo e relacione o tipo corretamente:
( ) Procedimento
( ) Fechadura
( ) Firewall
( ) Cadeado
( ) Normas
 3, 1, 2, 1, 3
 3a Questão 
Política de segurança é composta por um conjunto de regras e padrões sobre o que deve ser feito
para assegurar que as informações e serviços importantes para a empresa recebam a proteção
conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade. Após sua
criação ela deve ser: 
 Comunicada a toda a organização para os usuários de uma forma que seja relevante,
acessível e compreensível para o público-alvo. 
 4a Questão 
Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a
forma como a tecnologia da informação apoia as operações e processos das empresas, qual das
opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente
responsáveis por este processo?
 O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações;
 5a Questão 
Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do
pagamento dos funcionários. Neste momento o sistema de Pagamento necessita ser acessado pela
área de contabilidade, pois caso ocorra uma falha o pagamento dos funcionários não poderá ser
realizado. Neste caso qual o pilar da segurança está envolvido:
 Disponibilidade 
 6a Questão 
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o
modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia
da informação apoia as operações das empresas e as atividades de trabalho dos usuários finais. Qual
das opções abaixo não pode ser considerada como razão fundamental para as aplicações de
tecnologia da informação nas empresas?
 Apoio à tomada de decisão empresarial
 Apoio aos Processos
 Apoio ao uso da Internet e do ambiente wireless
 Apoio às Estratégias para vantagem competitiva
 Apoio às Operações
 7a Questão 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções
abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das
empresas e organizações? 
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros;
 Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos;
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia;
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais;
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos;
 8a Questão 
Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um
mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o
conceito de?
 Vulnerabilidade.
 1a Questão 
Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na
forma como a tecnologia da informação tem apoiado as operações das empresas, qual das opções
abaixo não é verdadeira quando tratamos do conceito de Informação?
 É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la.
 Deve ser disponibilizada sempre que solicitada.
 Pode conter aspectos estratégicos para a Organização que o gerou.
 É fundamental proteger o conhecimento gerado.
 A informação é vital para o processo de tomada de decisão de qualquer corporação.
 2a Questão 
Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a
forma como a tecnologia da informação apoia as operações e processos das empresas, qual das
opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente
responsáveis por este processo?
 O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações;
 3a Questão 
Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos
de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico,
este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo
foi envolvido nesta situação? 
 Intangível 
 4a Questão 
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o
modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia
da informação apoia as operações das empresas e as atividades de trabalho dos usuários finais. Qual
das opções abaixo não pode ser considerada como razão fundamental para as aplicações de
tecnologia da informação nas empresas?
 Apoio aos Processos
 Apoio à tomada de decisão empresarial
 Apoio às Estratégias para vantagem competitiva
 Apoio ao uso da Internet e do ambiente wireless
 Apoio às Operações
 5a Questão 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções
abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das
empresas e organizações? 
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos;
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais;
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros;
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia;
 Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos;
 6a Questão 
Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um
mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o
conceito de?
 Vulnerabilidade.
 7a Questão 
O propósito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente
dos recursos disponíveis (pessoas, materiais, equipamentos, tecnologia, dinheiro e informação).
Neste contexto podemos a afirmar que ________________________é o elemento identificado em
sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação.
 o dado 
 8a Questão 
O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja
trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado
com qual conceito?
 Ameaça.
Aula 02
 1a Questão 
Analise a afirmativa: “O nível de segurança pode ser aumentado tanto pela necessidade de
confidencialidade quanto pela de disponibilidade”. Esta afirmação é:
 verdadeira, pois a classificação da informação pode ser sempre reavaliada.
 2a Questão 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado
grupo de usuários denominados “auditores”. Um usuário de um outro grupo, o grupo “estudante”,
tenta acessar o sistema em busca de uma informação que somente o grupo “auditores” tem acesso e
consegue. Neste caso houveuma falha na segurança da informação para este sistema na propriedade
relacionada à:
 Confidencialidade;
 3a Questão 
A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado
um elemento fundamental para:
 A gestão dos negócios da organização.
 4a Questão 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado
grupo de usuários denominados “auditores”. Após várias consultas com respostas corretas e
imediatas, em um determinado momento, um usuário pertencente ao grupo “auditores” acessa o
sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la.
Neste caso houve uma falha na segurança da informação para este sistema na propriedade
relacionada à:
 Disponibilidade;
 5a Questão 
Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que
ferramenta?
 Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade 
e a Disponibilidade das Informações.
 6a Questão 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor.
Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído
às informações para as organizações quando tratamos de Segurança da Informação?
 Valor de troca.
 Valor de uso.
 Valor de orçamento.
 Valor de restrição.
 Valor de propriedade.
 7a Questão 
Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o
conceito de “Ativo de Informação”?
 São aqueles que produzem, processam, transmitem ou armazenam informações.
 8a Questão 
A informação também possui seu conceito de valor e que está associado a um contexto, podendo
gerar lucros ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum
valor. Qual das opções abaixo apresenta os quatro aspectos importantes para a classificação das
informações?
 Confidencialidade, integridade, disponibilidade e valor.
 1a Questão 
A assinatura digital permite comprovar ______________ e Integridade de uma informação, ou seja,
que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada.
 A autenticidade 
 2a Questão 
Sobre o conceito: " [...] é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar
em desiquilíbrio operacional e, eventualmente, à perdas financeiras ou de confiabilidade perante o
cliente externo". Tal conceituação refere-se a qual tipo de informação, no que tange ao nível de
prioridade da mesma, segundo Wadlow (2000)?
 Informação confidencial
 3a Questão 
Valores são o conjunto de características de uma determinada pessoa ou organização, que
determinam a forma como a pessoa ou organização se comportam e interagem com outros
indivíduos e com o meio ambiente. A informação terá valor econômico para uma organização se ela
gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou
nenhum valor. Qual a melhor definição para o valor de uso de uma informação: 
 Baseia-se na utilização final que se fará com a informação.
 4a Questão 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro
que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o
arquivo possuía um tamanho maior do que quando Maria iniciou a transmissão. Neste caso houve
uma falha na segurança da informação relacionada à:
 Integridade;
 5a Questão 
As vulnerabilidades estão presentes no dia a dia das empresas e se apresentam nas mais diversas
áreas de uma organização, a todo instante os negócios, seus processos e ativos físicos, tecnológicos
e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o
melhor conceito de Vulnerabilidade na ótica da Segurança da Informação?
 Fragilidade presente ou associada a ativos que manipulam ou processam informações .
 6a Questão 
Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no
ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou
à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de
clientes. Neste caso você classificaria estas informações em qual nível de segurança?
 Confidencial.
 7a Questão 
Ao elaborar e comunicar uma Política de Segurança da Informação é necessário: 
 
I. Usar uma linguagem conhecida. 
II. Usar meios adequados aos tipos de mensagens e usuários. 
III. Adotar estilo simples e claro. 
IV. Respeitar o interlocutor sem superestimá-lo nem subestimá-lo. 
V. Respeitar a cultura organizacional e a do país a que se destina.
 As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário queela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam. 
 8a Questão 
Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como o banco
pode garantir-se de que, posteriormente, João venha a afirmar que não foi ele quem fez o acesso?
Neste caso estamos falando de: 
 Não-repúdio 
Aula 03
 1a Questão 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas
vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente,
burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito
ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplo de
Vulnerabilidade de Software:
 Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento deinformações, perda de dados ou indisponibilidade de recursos quando necessários.
 2a Questão 
Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas,
intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da
informação. Com base nessa informação, analise os itens a seguir.
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto
pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. 
II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos
de informação. 
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. 
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. 
Representam vulnerabilidades dos ativos de informação o que consta em: 
 I, III e IV, somente. 
 3a Questão 
O processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e
levantar dados que possam prever a efetividade desse conjunto de proteções pode ser descrito em
qual das opções abaixo?
 Análise de Vulnerabilidade
 4a Questão 
Observe a figura acima e complete corretamente a legenda dos desenhos:
 Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes eprodutos
 5a Questão 
Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a
informação, não acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará
evitando como também prevenindo a concretização de possíveis ameaças. Baseado neste fato
podemos denominar como Vulnerabilidade Física:
 Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas.
 6a Questão 
Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de
vulnerabilidade:
 Firewall mal configurado. 
 Funcionário desonesto. 
 Rede elétrica instável.Sistema operacional desatualizado. 
 Links sem contingência.
 7a Questão 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas
vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente,
burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito
ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplo de
Vulnerabilidade de Hardware:
 Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante ainstalação.
 8a Questão 
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente
articulado pelas redes, onde a informação, independente do seu formato. Uma vez identificados
quais os riscos que as informações estão expostas deve-se imediatamente iniciar um processo de
segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo
em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar
guardadas de forma segura. Neste contexto como podemos definir o que são vulnerabilidades:
 Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. 
Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das 
organizações.
 1a Questão 
Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou
fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior
número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque
orquestrado, não só para este site mas para várias instituições governamentais, acredita-se que foram
utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados
IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e críticos
que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque?
 Vulnerabilidade Software
 2a Questão 
Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas
tentativas de invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques
criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não
identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o
tipo de vulnerabilidade utilizada neste caso?
 Vulnerabilidade de Software.
 3a Questão 
Em um processo de análise de riscos em TI, uma avaliação da vulnerabilidade depende das
avaliações e....
 do ativo e das ameaças. 
 4a Questão 
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas
vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente,
burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito
ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplo de
Vulnerabilidade de Hardware: 
 Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a
instalação.
 5a Questão 
No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a justificativa
de defender a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço
contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram
represália por terem negado hospedagem, bloqueado recursos financeiros ou vetado doações para o
WikiLeaks, o serviço responsável pelo vazamento de mais de 250 000 documentos diplomáticos
americanos, Qual você acha que seria a vulnerabilidade neste ataque?
 Vulnerabilidade de Software
 6a Questão 
Em setembro de 2012, o sistemas militar que controla armas nucleares, localizado na Casa Branca.
Os Hackers invadiram através de servidores localizados na China. Neste ataque foi utilizada a
técnica conhecida como spear-phishing, que é um ataque muito utilizado, e que consiste em enviar
informações que confundam o usuário e o mesmo execute um código malicioso. Essa técnica
geralmente ocorre através de envio de e-mails falsos, porém com aparência de confiáveis.. Qual
você acha que foi o tipo de vulnerabilidade utilizada neste caso?
 Vulnerabilidade Humana.
 7a Questão 
A Turner Broadcasting System (TBS), uma divisão da Time Warner que gerencia canais como CNN
e Cartoon Network, revelou que sua rede foi infiltrada e atacada pelo worm Rinbot. O Rinbot
conseguiu entrar na segurança da informação da TBS usando uma falha no antivírus da Symantec. A
vulnerabilidade foi corrigida. O Rinbot, também chamado de Delbot pela Sophos, é um vírus
semelhante ao Spybot, Agobot e outros. Ele forma uma rede zumbi com os computadores
infectados, permitindo que seu criador obtenha controle total do sistema infectado. Qual você acha
que foi o tipo de vulnerabilidade utilizada neste caso?
 Vulnerabilidade de Software.
 8a Questão 
João trabalha no Datacenter de uma empresa de Tecnologia. Logo assim que chegou no ambiente de
trabalho, ocorreu um curto circuito e iniciou um incêndio. João correu para buscar um extintor
contra incêndio e percebeu que ele estava vazio. Neste caso estamos falando de vulnerabilidade do
tipo: 
 Física 
Aula 04
 1a Questão 
Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las
quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem
para as ameaças ?
 Interna e Externa 
 2a Questão 
A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual de hackers, mas
na verdade estas pessoas tem amplo conhecimento de programação e noções de rede e internet, não
desenvolvem vulnerabilidades e não tem intenção de roubar informações, estes na verdade são os
crackers que invadem sistemas em rede ou computadores para obter vantagens muitas vezes
financeiras. Verifique nas sentenças abaixo as que estão corretas em relação a descrição dos
potenciais atacantes:
I - Wannabes ou script kiddies São aqueles que acham que sabem, dizem para todos que sabem, se
anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos.
II- Defacers Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas
sem ser detectados ou realizam chamadas sem tarifação. 
III- Pheakres São organizados em grupo, usam seus conhecimentos para invadir servidores que
possuam páginas web e modificá-las. 
 Apenas a sentença I está correta.
 3a Questão 
Um tipo de software especificamente projetado para apresentar propagandas, seja através de um
browser, seja através de algum outro programa instalado em um computador pode ser descrito como
sendo um:
 Adware
 4a Questão 
Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou
diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de
um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas:
 Medidas Preventivas
 5a Questão 
As ameaças aproveitam das falhas de segurança da organização, que é considerado como ponto
fraco, provocando possíveis danos, perdas e prejuízos aos negócios da empresa. Elas são constantes
podendo acontecer a qualquer momento. Portanto é necessário conhecer profundamente qualquer
tipo de vulnerabilidades para que não sejam comprometidos os princípios que se refere à segurança
da informação. Quanto a sua intencionalidade elas podem ser classificadas como: 
 Naturais, Involuntárias e voluntárias.
 6a Questão 
Analiseas seguintes afirmativas sobre ameaças à Segurança da Informação:
I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa
desejado pelo usuário, com o objetivo de obter dados não autorizados do usuário.
II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se propagar
de um computador para outro.
III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de
remetentes falsos.
Estão CORRETAS as afirmativas: 
 I, II e III.
 7a Questão 
Ao analisarmos a afirmativa: “Devemos levar em consideração que diferentes ameaças possuem
impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes
para uma mesma ameaça”. Podemos dizer que é:
 verdadeira
 8a Questão 
Pedro construiu um software malicioso capaz de capturar e armazenar as teclas digitadas pelo
usuário no teclado do computador. Neste caso podemos afirmar que Pedro construiu um: 
 Keylogger 
 1a Questão 
Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para
as quais foi projetado, também executa outras funções normalmente maliciosas e sem o
conhecimento do usuário poderá ser melhor descrito como sendo um:
 cavalo de tróia (trojan horse)
 2a Questão 
Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso?
 Ativo
 3a Questão 
O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um
computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, como
senhas bancárias e números de cartões de crédito é conhecido como:
 Keylogger
 4a Questão 
O que são exploits?
 
São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades
conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são utilizados por pessoas
sem conhecimento da vulnerabilidade. 
 5a Questão 
Desde o aparecimento do primeiro spam, em 1994, a prática de enviar e-mails não solicitados tem
sido aplicada com vários objetivos distintos e também utilizando diferentes aplicativos e meios de
propagação na rede. Os tipos de spam identificados até o momento são: correntes, boatos, lendas
urbanas, propagandas, ameaças, pornografia, códigos maliciosos, fraudes e golpes. 
É muito importante que se saiba como identificar os spams, para poder detectá-los mais facilmente e
agir adequadamente. Dentre as afirmativas abaixo marque aquelas que podemos assinalar como 
sendo as principais características dos spams: 
I. Apresentam cabeçalho suspeito. 
II. Apresentam no campo Assunto palavras com grafia errada ou suspeita. 
III. Apresentam no campo Assunto textos alarmantes ou vagos. 
IV. Oferecem opção de remoção da lista de divulgação. 
V. Prometem que serão enviados "uma única vez. 
VI. Baseiam-se em leis e regulamentações inexistentes. 
Estão corretas: 
 Todas as afirmativas estão corretas 
 6a Questão 
Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas.
As consequências são bastante variadas, algumas têm como instrução infectar ou invadir
computadores alheios para, em seguida, danificar seus componentes de hardware ou software,
através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o
computador vulnerável a outros tipos de ataques. Em relação a classificação das ameaças podemos
definir como ameaças involuntárias:
 Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões.
 7a Questão 
As ameaças são agentes ou condições que causam incidentes que comprometem as informações e
seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as
possíveis classificações das ameaças quanto a sua intencionalidade?
 Naturais, Involuntárias e Voluntarias.
 8a Questão 
Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga 
infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos 
de um computador pode ser descrito como sendo um:
 vírus
Aula 05
 1a Questão 
Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas
foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que
sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo
tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma
receita nossa conhecida, qual seria a melhor forma de definir a fase de "Levantamento das
informações" nesta receita:
 É uma fase preparatória onde o atacante procura coletar o maior número possível de 
informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque.
 2a Questão 
Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de
pacotes PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem
utilizado é o endereço IP da vítima desejada, de forma que todos os hosts do domínio de broadcast
irão responder para este endereço IP , que foi mascarado pelo atacante.
 Fraggle
 3a Questão 
Pedro construiu um programa que permite que ele se conecte remotamente a um computador depois
que o programa for instalado na máquina alvo. Neste caso podemos afirmar que Pedro construiu
um: 
 Backdoor 
 4a Questão 
João e Pedro são administrador de sistemas de uma importante empresa e estão instalando uma nova
versão do sistema operacional Windows para máquinas servidoras. Durante a instalação Pedro
percebeu que existem uma série de exemplos de códigos já prontos para serem executados,
facilitando assim o trabalho de administração do sistema. Qual o tipo de ataque que pode acontecer
nesta situação?
 Shrink Wrap Code 
 5a Questão 
Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um
endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão
sendo executados em cada computador ?
 Ataque para Obtenção de Informações
 6a Questão 
Pedro construiu uma página igual a página de uma grande empresa de comércio eletrônico com o
objetivo de capturar as informações de usuário e senha e número do cartão de crédito de usuários
desavisados. Para obter sucesso enviou mensagem não solicitada com o intuito de induzir o acesso a
esta página fraudulenta. Neste caso podemos afirmar que Pedro pratica um ataque de: 
 Phishing scan 
 7a Questão 
Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema.
Normalmente o atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. O ataque que tem
como objetivo a verificação do lixo em busca de informações que possam facilitar o ataque é
denominado:
 Dumpster diving ou trashing
 8a Questão 
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à
rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o
servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar?
 SYN Flooding 
 1a Questão 
Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo,
qual das opções abaixo Não representa um destes passos?
 Divulgação do Ataque
 Exploração das Informações
 Levantamento das Informações
 Obtenção de Acesso
 Camuflagem das Evidências
 2a Questão 
Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma:
Consiste na verificação do lixo em busca deinformações que possam facilitar o ataque. É uma
técnica eficiente e muito utilizada e que pode ser considerada legal visto que não existem leis a
respeito dos lixos. Neste caso é interessante que as informações críticas da organização (planilhas de
custos, senhas e outros dados importantes) sejam triturados ou destruídos de alguma forma. Qual
seria este ataque:
 Dumpster diving ou trashing.
 3a Questão 
Qual opção abaixo representa a descrição do Passo “Levantamento das Informações” dentre aqueles
que são realizados para um ataque de segurança?
 O atacante procura coletar o maior número possível de informações sobre o "alvo em
avaliação".
 4a Questão 
Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de
um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao
banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de
 SQL Injection 
 5a Questão 
Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir posteriormente o 
acesso à máquina invadida para o atacante?
 Backdoor
 6a Questão 
A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do
envio de informações inconsistentes para um campo de entrada de dados da tela principal do
sistema. Neste caso, foi utilizado um ataque de:
 Buffer Overflow
 7a Questão 
Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para isso
implementou um programa que que irá coletar informações pessoais e financeiros da vítima. Para
obter sucesso no ataque, Antônio irá induzir o acesso a página fraudulenta através do envio de uma
mensagem não solicitada. Neste caso estávamos nos referindo ao ataque do tipo
 Phishing Scan 
 8a Questão 
Pedro realizou um ataque em um site e conseguiu um acesso privilegiado através do Banco de 
dados. Neste caso podemos afirmar que Pedro realizou um ataque do tipo: 
 SQLinjection 
Aula 06
 1a Questão 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação,
de acordo com a ABNT NBR ISO/IEC 27005.
 O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de 
risco.
Explicação: 
O ativo que tem o maior risco de disponibilidade, ou seja, aquele que tem maior acessibilidade, por 
conseguinte é também aquele que tem a maior possibilidade de risco.
 2a Questão 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de
infra-estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a
existência de alarmes. Neste caso que tipo de barreira você está implementando?
 Desencorajar
 3a Questão 
Você trabalha na área de gestão de risco da sua organização. Após a fase de análise de risco, você irá
realizar a etapa de tratamento de risco através da implementação de controles que irão reduzir a
probabilidade de ameaças se concretizarem , assim como a diminuição do grau de vulnerabilidade
do ambiente de produção. Neste caso a medida de proteção implementada foi:
 Medidas preventivas
 4a Questão 
Qual das opções abaixo não representa uma das etapas da Gestão de Risco:
 Selecionar, implementar e operar controles para tratar os riscos.
 Manter e melhorar os controles
 Identificar e avaliar os riscos.
 Verificar e analisar criticamente os riscos.
 Manter e melhorar os riscos identificados nos ativos
 5a Questão 
Referente ao processo de Gestão de incidentes, qual é a sequência na ordem que compõem o
processo de gestão de incidentes ?
 Ameaça, incidente, impacto e recuperação
 6a Questão 
Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de
gestão de incidentes sequencialmente ?
 Ameaça, incidente, impacto e recuperação
 7a Questão 
A segurança da informação deve ser vista como algo estratégico dentro da organização. E a
organização deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da
organização criar um plano de gestão voltado para riscos é criando um Plano de Gestão de Risco
(PGI). O PGI é composto por 4 fases, quais são elas?
 Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco
 8a Questão 
Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de
Segurança da Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de
riscos, uma decisão sobre o tratamento do risco precisa ser tomada. As alternativas abaixo
apresentam possíveis opções para o tratamento do risco, exceto:
 Transferir os riscos associados para outras partes, por exemplo, seguradoras ou 
fornecedores.
 Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política
da organização e aos critérios para a aceitação do risco.
 Identificar os riscos de segurança presentes.
 Aplicar controles apropriados para reduzir os riscos.
 Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.
Explicação: 
Identificar os riscos de segurança presentes.===> FALSO. Não só presentes como existentes em 
qualquer situação.
Aplicar controles apropriados para reduzir os riscos.===> VERDADE
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da 
organização e aos critérios para a aceitação do risco.===> VERDADE
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.===> VERDADE
Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. ===> 
VERDADE
 1a Questão 
É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele
afeta o processo em geral e a definição do contexto em particular. Qual das opções abaixo Não
representa um destes propósitos?
 Descrição dos requisitos de segurança da informação para um produto.
 Preparação de um plano de respostas a incidentes.
 Conformidade Legal e a evidência da realização dos procedimentos corretos
 Preparação de um plano de continuidade de negócios.
 Preparação de um plano para aceitar todos os Riscos
 2a Questão 
Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las 
posteriormente como máquinas para destinar um ataque que seja o alvo do atacante?
 Bot/Botnet
 3a Questão 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos 
onde são utilizados termos numéricos para os componentes associados ao risco.
 Método Quantitativo
 4a Questão 
Qual o nome do ataque que é muito utilizado em espionagem, onde esse é utilizado para obter
informações confidenciais em lixos ?
 Dumpster diving
 5a Questão 
Qual das opções abaixo não representa uma das etapas da Gestão de Risco:
 Manter e melhorar os controles
 Selecionar, implementar e operar controles para tratar os riscos.
 Identificar e avaliar os riscos.
 Verificar e analisar criticamente os riscos.
 Manter e melhorar os riscos identificados nos ativos
 6a Questão 
Qual o nome do processo malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-
las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante?
 Bot/Botnet
 7a Questão 
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira
corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma
combinação de ambas. Neste sentido podemos definir a barreira "Detectar":
 Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e 
instrumentem os gestores da segurança nadetecção de situações de risco.
 8a Questão 
Qual das opções abaixo representa o tipo de ação quando observamos que o custo de proteção
contra um determinado risco não vale a pena ser aplicado:
 Aceitação do Risco
Aula 07
 1a Questão 
Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de
segurança da informação. Assinale a opção correta.
 Os requisitos de segurança da informação de uma organização são obtidos por três fontes 
principais, sendo a análise de riscos uma delas.
 2a Questão 
A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 
tem como objetivo apresentar recomendações para:
 Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de 
informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil
 3a Questão 
Os processos que envolvem a gestão de risco são, exceto:
 Identificar os riscos
 Realizar a análise quantitativa do risco
 Realizar a análise qualitativa do risco
 Planejar o gerenciamento de risco
 Gerenciar as respostas aos riscos
 4a Questão 
A gestão da continuidade do negócio está associada, a não permitir a interrupção das atividades do 
negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. Analise:
I. Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo com
os requisitos regulamentares, estatutários, contratuais e do negócio; 
II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a 
assegurar sua permanente atualização e efetividade; 
III. Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para 
a proteção da informação. 
IV. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, 
junto à probabilidade e impacto de tais interrupções e as conseqüências para a segurança de 
informação; 
Quanto aos controles relacionados à gestão da continuidade do negócio, marque a opção correta: 
 II e IV, somente
 5a Questão 
De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de
segurança da informação deve: 
 ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato 
com a organização.
 6a Questão 
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de
segurança da informação.
 A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 
 7a Questão 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação
onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser
implementados para alcançar a estratégia definida nas diretrizes?
 Normas.
 8a Questão 
Marque a alternativa que NÃO representa uma alternativa a mitigação de risco:
 Aceitação de risco
 Suposição de risco
 Transferência de risco
 Limitação de risco 
 Prevenção de risco
 1a Questão 
Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas.
1) Comitê de segurança da informação. 
2) Controle. 
3) Funções de software e hardware. 
4) Deve ser analisado criticamente. 
5) Política. 
( ) Controle. 
( ) Firewall. 
( ) estrutura organizacional. 
( ) Permissão de acesso a um servidor. 
( ) Ampla divulgação das normas de segurança da informação. 
A combinação correta entre as duas colunas é: 
 4-3-1-2-5. 
 2a Questão 
Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC
27000 ?
 ISO/IEC 27005
 3a Questão 
Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de
segurança da informação, através de três fontes principais: 
 Requisitos de negócio, Análise de risco, Requisitos legais
 4a Questão 
Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir
que a organização certificada: 
 implementou um sistema para gerência da segurança da informação de acordo com os
padrões e melhores práticas de segurança reconhecidas no mercado.
 5a Questão 
Para a implementação de uma regulamentação de monitoramento eletrônico, necessitamos atentar a
alguns pontos, EXCETO:
 Os colaboradores estão cientes que podem copiar ferramentas disponibilizados pela empresa 
para uso externo.
 Colaboradores deverão estar cientes de que a empresa poderá a vir inspecionar todo o e 
qualquer arquivo trafegado na rede.
 Caso ocorra a divulgação de quaisquer informações confidenciais da empresa, estarão sujeitos
às sanções cabíveis.
 Os colaboradores poderão utilizar a internet corporativa para atividades lícitas em seu horário 
de descanso.
 Ciência por parte dos colaboradores acerca dos sistemas de monitoramento implantados. 
 6a Questão 
Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar:
 Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam
de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os
fundamentos sobre os quais toda a família está baseada e se integra.
 7a Questão 
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de
segurança da informação.
 A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
 8a Questão 
Dada as assertivas, marque a opção correta:
 I- O risco tem duas dimensões: (i) probabilidade de ocorrência e (ii) impacto sobre o projeto. 
II- Dificilmente as chances de um risco ser totalmente eliminado é real.
III- A gestão de riscos só visa o monitoramento para detecção de ameaças.
 Apenas I correta
Aula 08
 1a Questão 
Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança
da informação? 
 Suporte técnico. 
 Conscientização dos usuários. 
 Segregação de funções. 
 Auditoria. 
 Procedimentos elaborados.
 2a Questão 
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir
que a organização certificada:
 implementou um sistema para gerência da segurança da informação de acordo com os 
padrões e melhores práticas de segurança reconhecidas no mercado
 3a Questão 
Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e 
prover os recursos necessários para: 
 Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um 
SGSI. 
 4a Questão 
Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os
ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os
tipos proteção possíveis de serem aplicadas às organizações?
 Administrativa, Física e Lógica.
 5a Questão 
A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a
instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de
alarmes, neste caso qual o tipo de proteção que está sendo utilizada ?
 Desencorajamento
 6a Questão 
O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais,
industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam,
manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário,
conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é
norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares
e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act.Podemos dizer que a empresa
deve implementar na etapa Do:
 A organização deve implementar e operar a política, controles, processos e procedimentos 
do SGSI, buscando não burocratizar o funcionamento das áreas.
 7a Questão 
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o
que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do
controle. 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, 
manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da 
organização. 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as
organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles 
considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e 
as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser 
fornecidas. 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo 
claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos 
em outras áreas, se necessário. 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:
 II e III.
 8a Questão 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações
ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de
auditorias, da análise dos eventos monitorados e através de ações:
 Corretivas e Preventivas.
 1a Questão 
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma
são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que
são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização:
 Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do
SGSI pela direção e Melhoria do SGSI
 2a Questão 
Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a
norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve
Monitorar e Analisar criticamente o SGSI, que compreende a atividade de:
 Especificar os requisitos necessários para o estabelecimento, implementação, operação, 
monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança 
da Informação (SGSI) dentro do contexto dos riscos de negócio da organização.
 3a Questão 
Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A
segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um
Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com
o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios,
reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio
e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA
DA INFORMAÇÃO - a organização deve inicialmente definir:
 Identificar, Analisar e avaliar os riscos.
 4a Questão 
A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua
contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças.
Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta
análise: 
 A realimentação por parte dos envolvidos no SGSI
 Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de 
risco anteriores
 A avaliação das ações preventivas e corretivas
 Os resultados das auditorias anteriores e análises críticas
 A avaliação dos riscos e incidentes desejados
 5a Questão 
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e
relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e
iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA),
aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da
fase "Plan" é:
 O escopo do SGSI alinhado com as características de negócio, da organização, sua 
localização, ativos e tecnologia.
 6a Questão 
A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente 
associado a que tipo de proteção ?
 Preventiva.
 7a Questão 
No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como 
um Problema de Segurança: 
 Uma Operação Incorreta ou Erro do usuário.
 Restrição Financeira.
 Uma inundação.
 A perda de qualquer aspecto de segurança importante para a organização.
 Uma tempestade.
 8a Questão 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações 
ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de 
auditorias, da análise dos eventos monitorados e através de ações:
 Corretivas e Preventivas
Aula 09
 1a Questão 
De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da
gestão de continuidade do negócio (GCN).
 A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, 
serviços e(ou) atividades críticas e recursos de suporte de uma organização. 
 2a Questão 
Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de
Recuperação de Desastres (PRD)? 
 O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à 
reparação dos danos causados. 
 3a Questão 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e
que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores.
Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas
necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o
elemento "Entendendo a Organização"?
 Para o estabelecimento do programa de GCN é necessário entender a organização para 
definir a priorização dos produtos e serviços da organização e a urgência das atividades que 
são necessárias para fornecê-los.
 4a Questão 
Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão 
e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação 
de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou 
restaurar as operações. 
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento: 
 Desenvolvendo e implementando uma resposta de GCN. 
 5a Questão 
Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre?
 Um evento que causa uma parada nos processos da organização por um período de tempo 
maior do que ela considera aceitável. 
 6a Questão 
BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de
Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de
forma ............................e........................... dos principais processos de negócios mapeados e
entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de
Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a
implementação da Continuidade de Negócios.
 Qualitativae Quantitativa
 7a Questão 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e
que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. 
Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas 
necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o
elemento "Desenvolvendo e Implementando"? 
 Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de 
incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a 
serem tomados durante e após um incidente , para manter ou restaurar as operações. 
 8a Questão 
Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível
mais alto da organização para garantir que: 
 As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas
 1a Questão 
Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999
implementada. Qual das opções abaixo não está em conformidade com as orientações da norma
citada? 
 Comunicar-se com as partes interessadas
 Tomar controle da situação
 Afastar o incidente do cliente
 Confirmar a natureza e extensão do incidente
 Controlar o incidente
 2a Questão 
Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC
15999, que as organizações devem implementar para a identificação das atividades críticas e que
serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de
continuidade ?
 Análise de impacto dos negócios (BIA) 
 3a Questão 
Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de
Recuperação de Desastres (PRD)?
 O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à 
reparação dos danos causados. 
 4a Questão 
De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da
gestão de continuidade do negócio (GCN).
 A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, 
serviços e(ou) atividades críticas e recursos de suporte de uma organização. 
 5a Questão 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua
organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção
que melhor retrata as ações que você deve realizar: 
 Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos 
e serviços fundamentais para a organização. 
 6a Questão 
Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas
organizações ?
 Planejamento, desenvolvimento e implementação do programa 
 7a Questão 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro 
que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o
arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve 
uma falha na segurança da informação relacionada à:
 Integridade;
 8a Questão 
Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão 
e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação 
de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou 
restaurar as operações. 
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento: 
 Desenvolvendo e implementando uma resposta de GCN. 
Aula 10
 1a Questão 
Considerando que um usuário deseje enviar um e-mail criptografado, assinale a alternativa que
apresenta a chave do destinatário que esse usuário deverá conhecer para realizar corretamente a
criptografia. 
 Chave pública 
 2a Questão 
Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste 
sentido é correto afirmar que?
 A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam 
chaves diferentes
 A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam 
a mesma chave
 A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as 
mesmas chaves
 A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam chaves
diferentes
 A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a 
mesma chave
 3a Questão 
Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está
INCORRETA : 
 A Chave Privada deve ser mantida em segredo pelo seu Dono 
 Chave Publica e Privada são utilizadas por algoritmos assimétricos 
 A Chave Publica pode ser divulgada livremente 
 Cada pessoa ou entidade mantém duas chaves 
 A Chave Publica não pode ser divulgada livremente, somente a Chave Privada 
 4a Questão 
Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par
de chaves assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade
certificadora confiável. Uma mensagem será enviada de Ana para Bernardo, satisfazendo às
seguintes condições:
1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho;
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 
3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições
anteriores. 
A mensagem de Ana para Bernardo deve ser assinada 
 com a chave privada de Ana e criptografada com a chave pública de Bernardo.
 5a Questão 
Dentre as vantagens de utilização de normas, podemos destacar as seguintes, EXCETO:
 Criação de vantagens competitivas
 Atrair e manter clientes
 Demonstração de liderança de mercado
 Compartilhamento de informações com os stakeholders
 Desenvolvimento e manutenção das melhores práticas
 6a Questão 
Você trabalha na área de administração de rede e para aumentar as medidas de segurança já
implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja,
impedindo que os hosts internos se comuniquem diretamente com sites na Internet. Neste caso você
optará por implementar :
 Um servidor proxy
 7a Questão 
A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do
ambiente externo (inseguro), é conhecida como:
 zona desmilitarizada (DMZ).
 8a Questão 
O fato de se poder conectar qualquer computador em qualquer lugar a qualquer outro computador 
pode torná- lo vulnerável. O recurso técnico para proteger essa conexão de dados é através de:
 Firewall
 1a Questão 
Você trabalha na área de administração de rede e para aumentar as medidas de segurança já
implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja,
impedindo que os hosts internos e externos se comuniquem diretamente. Neste caso você optará por
implementar : 
 Um servidor proxy
 2a Questão 
Em relação a firewalls, analise as assertivas abaixo: 
I.Firewalls em estado de conexão mapeiam pacotes e usam campos cabeçalhos TCP/IP para cuidar 
da conectividade. 
II.Firewalls podem implementar gateways em nível de aplicação que examinam os pacotes por 
dentro, além do cabeçalho TCP/IP, para ver o que a aplicação está fazendo. 
III. Um problema fundamental com firewalls é que eles oferecem um único perímetro de defesa, o 
qual, se rompido, deixará comprometida toda a segurança. 
É correto o que se afirma em :
 I, II e III3a Questão 
Uma empresa teve a sua sala de servidores incendiadas e com isso perdeu todos os dados
importantes para a empresa, mas ela estava preparada para a continuidade dos negócios, o que você
acha que foi importante para a recuperação destes dados:
 Na empresa haviam Backups ou cópias de segurança que são itens muito importantes na 
administração de sistemas devendo fazer parte da rotina de operação dos sistemas da 
organização, através de uma política pré-determinada.
 4a Questão 
Analise as seguintes afirmações relacionadas à Segurança da Informação e os objetivos do controle 
de acesso:
I. A disponibilidade é uma forma de controle de acesso que permite identificar os usuários legítimos 
da informação para que lhes possa ser liberado o acesso, quando solicitado. 
II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas 
tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente. 
III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão 
de redes, que inspeciona uma rede de dentro para fora, identifica e avalia padrões suspeitos que 
podem identificar um ataque à rede e emite um alarme quando existe a suspeita de uma invasão. IV. 
A integridade é uma forma de controle de acesso que evita o acesso de pessoas não autorizadas a 
informações confidenciais, salvaguardando segredos de negócios e protegendo a privacidade de 
dados pessoais. 
Indique a opção que contenha todas as afirmações verdadeiras. 
 I e III.
 5a Questão 
Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente físico
e, até mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de contingência
que melhor conduza o objeto a operar sob um nível de risco controlado. Nas estratégias de
contingência possíveis de implementação, qual a estratégia que está pronta para entrar em operação
assim que uma situação de risco ocorrer? 
 Hot-site
 6a Questão 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua
organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade
de negócios. Analise a opção que melhor retrata a estratégia a ser definida:
 A organização deve implementar medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
 7a Questão 
Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e
seus componentes ? 
 Redes Não Confiáveis - Não é possível informar se necessitam de proteção. 
 Redes Não Confiáveis - Não possuem controle da administração. 
 Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou 
não confiável. 
 Redes Não Confiáveis - Não possuem políticas de segurança. 
 Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de 
proteção 
 8a Questão 
Que cuidado deve ser tomado no armazenamento de fitas de backup fora da organização?
 O local de armazenamento deve estar protegido contra acessos não autorizados.