GSI-2015- Avaliando o Aprendizado- Gestão de Segurança da Informação

Prévia do material em texto

GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
 
 
 
 Data: 13/02/2015 22:59:30 (Finalizada) 
 
 
 1a Questão (Ref.: 201403174304) 
Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de 
diversas propriedade e que permitem a organização deste ativos em grupos com características semelhantes no 
que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções abaixo define a 
classificação dos tipos de ativos? 
 
 
 
Contábil e Não Contábil. 
 
Tangível e Intangível. 
 
Tangível e Físico. 
 
Intangível e Qualitativo. 
 
Material e Tangível. 
 
 
 
 
 
 2a Questão (Ref.: 201403171582) 
Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a 
tecnologia da informação apóia as operações e processos das empresas, qual das opções abaixo poderá ser 
escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo? 
 
 
 
O Aumento no consumo de softwares licenciados; 
 
O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; 
 
O crescimento explosivo dos cursos relacionados com a tecnologia da informação; 
 
O crescimento explosivo da venda de computadores e sistemas livres; 
 
O uso da internet para sites de relacionamento; 
 
 
 
 
 
 3a Questão (Ref.: 201403171579) 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não 
pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? 
 
 
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; 
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; 
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; 
 
Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; 
 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; 
 
 
 
 
 
 4a Questão (Ref.: 201403340399) 
A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus 
respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a 
disponibilidade, qual das definições abaixo expressa melhor este princípio: 
 
 
 
Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível 
para um usuário, entidade, sistema ou processo autorizado e aprovado. 
 
Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de 
maneira não autorizada e aprovada. 
 
Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou 
processos. 
 
Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, sistemas 
ou processos autorizados e aprovados, não deveriam ser passíveis de cancelamento posterior. 
 
Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis 
para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados. 
 
 
 
 
 
 5a Questão (Ref.: 201403171575) 
A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses 
dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do tratamento 
dos Dados para a sua utilização eficaz nas organizações? 
 
 
 
Dado - Informação - Conhecimento 
 
Dado - Informação - Informação Bruta 
 
Dado - Conhecimento Bruto - Informação Bruta 
 
Dado - Conhecimento - Informação 
 
Dado - Informação - Dados Brutos 
 
 
 
 
 
 6a Questão (Ref.: 201403174181) 
Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de 
proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? 
 
 
 
Valor. 
 
Ameaça. 
 
Impacto. 
 
Risco. 
 
Vulnerabilidade. 
 
 
 
 
 
Voltar 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 Data: 15/02/2015 19:23:16 (Finalizada) 
 
 
 1a Questão (Ref.: 201403174336) 
Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta? 
 
 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Probabilidade das Informações. 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a 
Disponibilidade das Informações. 
 
Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. 
 
Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Disponibilidade das Informações. 
 
 
 
 
 
 2a Questão (Ref.: 201403174340) 
Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo 
financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua 
empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você 
classificaria estas informações em qual nível de segurança? 
 
 
 
Pública. 
 
Confidencial. 
 
Secreta. 
 
Irrestrito. 
 
Interna. 
 
 
 
 
 
 3a Questão (Ref.: 201403723854) 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha 
na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuía um 
tamanho maior do que quando Maria iniciou a transmissão. Neste caso houve uma falha na segurança da 
informação relacionada à: 
 
 
 
Integridade; 
 
Confidencialidade; 
 
Auditoria; 
 
Não-Repúdio; 
 
Autenticidade; 
Gabarito Comentado. 
 
 
 
 
 4a Questão (Ref.: 201403174345) 
Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada 
informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos sem 
causar danos à organização, podemos afirmar que ela possui qual nível de segurança? 
 
 
 
Interna. 
 
Irrestrito. 
 
Secreta. 
 
Confidencial. 
 
As opções (a) e (c) estão corretas. 
 
 
 
 
 
 5a Questão (Ref.: 201403174344) 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das 
opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para 
as organizações quando tratamos de Segurança da Informação? 
 
 
 
Valor de propriedade. 
 
Valor de restrição. 
 
Valor de troca. 
 
Valor de orçamento. 
 
Valor de uso. 
 
 
 
 
 
 6a Questão (Ref.: 201403174337) 
Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade 
quanto pela de disponibilidade¿. Esta afirmação é: 
 
 
 
verdadeira desde que seja considerada que todas as informações são publicas. 
 
verdadeira se considerarmos que o nível não deve ser mudado. 
 
falsa, pois não existe alteração de nível de segurança de informação. 
 
verdadeira, pois a classificação da informação pode ser sempre reavaliada. 
 
falsa, pois a informação não deve ser avaliada pela sua disponibilidade. 
 
 
 
 
 
VoltarGESTÃO DE SEGURANÇA DA INFORMAÇÃO 
 
Exercício: CCT0059_EX_A3_201403102015 Voltar 
Aluno(a): Matrícula: 
 Data: 22/02/2015 22:13:37 (Finalizada) 
 
 
 1a Questão (Ref.: 201403691009) 
Você está analisando um documento e precisa verificar se os dados estão corretos. Qual aspecto de segurança 
da informação sobre confiabilidade você está verificando? 
 
 
 
Legalidade 
 
Não repúdio 
 
Disponibilidade 
 
Integridade 
 
Privacidade 
Gabarito Comentado. 
 
 
 
 
 2a Questão (Ref.: 201403688869) 
Relacione a primeira coluna com a segunda: 
A. Área de armazenamento sem proteção 1. ativo 
B. Estações de trabalho 2. vulnerabilidade 
C. Falha de segurança em um software 3. ameaça 
D. Perda de vantagem competitiva 4. impacto 
E. Roubo de informações 5. medida de segurança 
F. Perda de negócios 
G. Não é executado o "logout" ao término do uso dos sistemas 
H. Perda de mercado 
I. Implementar travamento automático da estação após período de tempo sem uso 
J. Servidores 
K. Vazamento de informação 
 
 
 
 
A2, B1, C2, D4, E4, F4, G2, H4, I5, J1, K3. 
 
A2, B1, C3, D3, E3, F4, G2, H4, I5, J1, K4. 
 
A2, B1, C3, D3, E4, F4, G2, H4, I5, J1, K3. 
 
A2, B1, C2, D3, E3, F3, G2, H4, I5, J1, K4. 
 
A2, B1, C2, D4, E3, F4, G2, H4, I5, J1, K3. 
 
 
 
 
 
 3a Questão (Ref.: 201403678188) 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo 
com a ABNT NBR ISO/IEC 27005. 
 
 
 
As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos. 
 
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente 
estabelecido. 
 
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de 
incidentes de segurança. 
 
O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
 
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem 
humana. 
Gabarito Comentado. 
 
 
 
 
 4a Questão (Ref.: 201403377720) 
Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a informação, não 
acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará evitando como também 
prevenindo a concretização de possíveis ameaças. Baseado neste fato podemos denominar como 
Vulnerabilidade Física: 
 
 
 
Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura). 
 
Acessos não autorizados ou perda de comunicação e a ausência de sistemas de criptografia nas 
comunicações. 
 
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). 
 
Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, 
assalto, destruição de propriedades ou de dados, invasões, guerras, etc.). 
 
Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas. 
 
 
 
 
 
 5a Questão (Ref.: 201403357385) 
 
Observe a figura acima e complete corretamente a legenda dos desenhos: 
 
 
 
 
Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios 
 
Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos 
 
Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos 
 
Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios 
 
Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios 
 
 
 
 
 
 6a Questão (Ref.: 201403688870) 
O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que 
chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? 
 
 
 
Risco 
 
Vulnerabilidade 
 
Ameaça 
 
Dependência 
 
Problema 
 
 
 
 
 
Voltar 
 
 
 
 
 
 
 
 
 
 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
 
Exercício: CCT0059_EX_A4_201403102015 Voltar 
Aluno(a): Matrícula: 
 Data: 21/03/2015 16:45:34 (Finalizada) 
 
 
 1a Questão (Ref.: 201403357388) 
As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua intencionalidade: 
 
 
 
Voluntária, involuntária e intencional 
 
Natural, presencial e remota 
 
Natural, voluntária e involuntária 
 
Intencional, proposital e natural 
 
Intencional, presencial e remota 
Gabarito Comentado. 
 
 
 
 
 2a Questão (Ref.: 201403735529) 
Analise as seguintes afirmativas sobre ameaças à Segurança da Informação: 
 
I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa desejado pelo 
usuário, com o objetivo de obter dados não autorizados do usuário. 
 
II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se propagar de um 
computador para outro. 
 
III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de remetentes 
falsos. 
 
Estão CORRETAS as afirmativas: 
 
 
 
I e III, apenas. 
 
I e II, apenas. 
 
I, II e III. 
 
II e III, apenas. 
 
II apenas 
Gabarito Comentado. 
 
 
 
 
 3a Questão (Ref.: 201403171091) 
Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja 
através de algum outro programa instalado em um computador pode ser descrito como sendo um: 
 
 
 
Spyware 
 
Adware 
 
Worm 
 
Active-x 
 
Java Script 
 
 
 
 4a Questão (Ref.: 201403171123) 
Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? 
 
 
 
Forte 
 
Secreto 
 
Fraco 
 
Passivo 
 
Ativo 
 
 
 
 
 
 5a Questão (Ref.: 201403688889) 
Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a 
correta correspondência com seus significados dispostos na Coluna II . 
 
Coluna I 
 
1. Spyware 
2. Adware 
3. Engenharia Social 
4. Backdoor 
5. Phishing 
 
Coluna II 
 
( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página 
clonada ou a um arquivo malicioso. 
( ) Software que insere propagandas em outros programas. 
( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. 
( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. 
( ) Programa espião. 
 
 
A sequencia correta é: 
 
 
 
5, 2, 4, 3, 1. 
 
3, 2, 4, 5, 1. 
 
3, 1, 5, 2, 4. 
 
5,1,4,3,2. 
 
3, 1, 4, 5, 2. 
 
 
 
 
 
 6a Questão (Ref.: 201403688892) 
Na categoria de software malicioso (malware), assinale a alternativa que identifica uma ameaça que consiste no 
envio de uma mensagem não-solicitada, que procura induzir o destinatário a fornecer dados pessoais ou 
financeiros, tais como senhas, número do CPF e número da conta-corrente. 
 
 
Vírus de boot 
 
Phishing 
 
Hoaxes (boatos) 
 
Keylogger (espião de teclado) 
 
Cavalo de troia 
 
 
 
 
 
Voltar 
 
 
 
 
 
 
 
 
 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
 
 Retornar 
 
 Data: 21/03/201516:31:34 (Finalizada) 
 
 
 1a Questão (Ref.: 201403171141) Fórum de Dúvidas (5) Saiba (0) 
 
A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de 
informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi 
utilizado um ataque de: 
 
 
 
SQL injection 
 
Buffer Overflow 
 
Fragmentação de pacotes IP 
 
Fraggle 
 
Smurf 
 
 
 
 
 
 
 2a Questão (Ref.: 201403171098) Fórum de Dúvidas (5) Saiba (0) 
 
Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? 
 
 
Fraco 
 
Ativo 
 
Forte 
 
Passivo 
 
Secreto 
 
 
 
 
 
 
 3a Questão (Ref.: 201403171152) Fórum de Dúvidas (5) Saiba (0) 
 
Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será necessário 
levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu objetivo o invasor 
tentará levantar estas informações através da escuta das portas do protocolo TCP e UDP. Neste caso estamos 
nos referindo a um ataque do tipo: 
 
 
 
Three-way-handshake 
 
Port Scanning 
 
Fraggle 
 
Fragmentação de Pacotes IP 
 
SYN Flooding 
 
 
 
 
 
 
 4a Questão (Ref.: 201403722739) Fórum de Dúvidas (5) Saiba (0) 
 
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando derrubar à rede através 
do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual 
o tipo de ataque que o invasor está tentando utilizar? 
 
 
 
Port Scanning 
 
SYN Flooding 
 
Ip Spoofing 
 
Fragmentação de pacotes IP 
 
Fraggle 
 
Gabarito Comentado 
 
 
 
 
 5a Questão (Ref.: 201403171162) Fórum de Dúvidas (5) Saiba (0) 
 
Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço 
específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em 
cada computador ? 
 
 
 
Ataque de Configuração mal feita 
 
Ataques de códigos pré-fabricados 
 
Ataque aos Sistemas Operacionais 
 
Ataque para Obtenção de Informações 
 
Ataque á Aplicação 
 
Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201403171127) Fórum de Dúvidas (5) Saiba (0) 
 
Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque 
externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de 
cadastro do cliente. Neste caso, foi utilizado um ataque de 
 
 
 
Fragmentação de Pacotes IP 
 
Buffer Overflow 
 
Fraggle 
 
Smurf 
 
SQL Injection 
 
 
 
 
 
 
Retornar 
 
 
 
 
 
 
 
 
 
 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
 
 Lupa 
 
 
 
 Retornar 
Exercício: CCT0059_EX_A6_201403102015 Matrícula: 
Aluno(a): Data: 29/05/2015 22:41:21 (Finalizada) 
 
 
 1a Questão (Ref.: 201403171184) Fórum de Dúvidas (1) Saiba (0) 
 
Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: 
 
 
 
Melhorar a efetividade das decisões para controlar os riscos 
 
Entender os riscos associados ao negócio e a gestão da informação 
 
Manter a reputação e imagem da organização 
 
Melhorar a eficácia no controle de riscos 
 Eliminar os riscos completamente e não precisar mais tratá-los 
 
 Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201403703777) Fórum de Dúvidas (1) Saiba (0) 
 
Qual o nome do ataque que é muito utilizado em espionagem, onde esse é utilizado para obter informações 
confidenciais em lixos ? 
 
 
 Dumpster diving 
 
Adware 
 
DoS 
 
Defacement 
 
Backdoor 
 
 Gabarito Comentado 
 
 
 
 
 3a Questão (Ref.: 201403703785) Fórum de Dúvidas (1) Saiba (0) 
 
Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de 
incidentes sequencialmente ? 
 
 
 Incidente, impacto, ameaça e recuperação 
 Ameaça, incidente, impacto e recuperação 
 
Ameaça, impacto, incidente e recuperação 
 
Incidente, recuperação, impacto e ameaça 
 
Impacto, ameaça, incidente e recuperação 
 
 Gabarito Comentado 
 
 
 
 
 4a Questão (Ref.: 201403703763) Fórum de Dúvidas (1) Saiba (0) 
 
Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta especificamente um dos 
três elementos da tríade da segurança da informação. Qual é o ataque ? 
 
 
 DoS/DDoS 
 
Adware 
 
0day 
 
Backdoor 
 
Spyware 
 
 Gabarito Comentado 
 
 
 
 
 5a Questão (Ref.: 201403703795) Fórum de Dúvidas (1) Saiba (0) 
 
Vamos analisar cada item. E marque a alternativa correta. 
 
 
 RSS (Really Simple Syndication) é uma forma de Feed que possibilita ao usuário receber dados de 
diversas fontes, reunindo-os em único local; 
 
O FTP (file transfer protocol) é o protocolo para transferência de arquivos do conjunto TCP/IP. Não é o 
único capaz de transferir arquivos, mas este é especializado e possui vários comandos para navegação e 
transferência de arquivos; 
 
O HTTP (hipertexto transfer protocol)? a ? é o protocolo utilizado pela WEB; 
 
O driver do HD possibilita a comunicação entre o HD e o computador/sistema operacional; 
 O antivírus é uma ferramenta que auxilia no combate às pragas eletrônicas 
 
 
 
 
 
 
 6a Questão (Ref.: 201403171181) Fórum de Dúvidas (1) Saiba (0) 
 
É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o 
processo em geral e a definição do contexto em particular. Qual das opções abaixo Não representa um destes 
propósitos? 
 
 
 
Preparação de um plano de respostas a incidentes. 
 
Conformidade Legal e a evidência da realização dos procedimentos corretos 
 Descrição dos requisitos de segurança da informação para um produto. 
 
Preparação de um plano de continuidade de negócios. 
 Preparação de um plano para aceitar todos os Riscos 
 
 
 
 
 
 
 Retornar 
 
 
 
 
 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
 
 Lupa 
 
 
 
 Retornar 
Exercício: CCT0059_EX_A7_201403102015 Matrícula: 
Aluno(a): Data: 29/05/2015 22:46:31 (Finalizada) 
 
 
 1a Questão (Ref.: 201403722738) Fórum de Dúvidas (0) Saiba (0) 
 
Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da 
Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o 
tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento 
do risco, exceto: 
 
 
 Corrigir os riscos de segurança presentes. 
 
Aplicar controles apropriados para reduzir os riscos. 
 
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da 
organização e aos critérios para a aceitação do risco. 
 
Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. 
 
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos. 
 
 Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201403157995) Fórum de Dúvidas (0) Saiba (0)Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de 
informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e 
maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três 
princípios básicos: 
 
 
 Integridade, confidencialidade e disponibilidade 
 
Flexibilidade, agilidade e conformidade 
 
Integridade, prevenção e proteção 
 Prevenção, proteção e reação 
 
Autenticidade, originalidade e abrangência 
 
 
 
 
 
 
 3a Questão (Ref.: 201403258846) Fórum de Dúvidas (0) Saiba (0) 
 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
 
 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos 
da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR 
ISO/IEC 27001. 
 Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
 
 
 
 
 
 4a Questão (Ref.: 201403171201) Fórum de Dúvidas (0) Saiba (0) 
 
Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? 
 
 
 ISO/IEC 27002 
 
ISO/IEC 27001 
 
ISO/IEC 27003 
 ISO/IEC 27005 
 
ISO/IEC 27004 
 
 Gabarito Comentado 
 
 
 
 
 5a Questão (Ref.: 201403681254) Fórum de Dúvidas (0) Saiba (0) 
 
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da 
informação. 
 
 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
 Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a 
aceitação do plano de tratamento do risco pelos gestores da organização. 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 
 Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201403171533) Fórum de Dúvidas (0) Saiba (0) 
 
A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e 
interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo 
referencia a que tipo de ação de Segurança: 
 
 
 
Gerenciamento das Operações e Comunicações. 
 
Controle de Acesso. 
 Segurança Física e do Ambiente. 
 
Segurança em Recursos Humanos. 
 
Segurança dos Ativos. 
 
 Gabarito Comentado 
 
 
 
 
 Retornar 
 
 
 
 
 
 
 
 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
 
 
Lupa 
 
 
 
 
 Retornar 
Exercício: CCT0059_EX_A8_201403102015 Matrícula: 
Aluno(a): Data: 30/05/2015 16:36:57 (Finalizada) 
 
 
 1a Questão (Ref.: 201403357406) Fórum de Dúvidas (1) Saiba (0) 
 
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são 
genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios 
de implementação da norma ISO/IEC 27001 em qualquer organização: 
 
 
 
Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e 
análise de risco. 
 
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas 
 Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do 
SGSI pela direção e Melhoria do SGSI 
 
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de 
segurança da informação. 
 
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria 
do SGSI 
 
 Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201403347099) Fórum de Dúvidas (1) Saiba (0) 
 
Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança 
da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de 
Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da 
informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto 
mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA 
DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: 
 
 
 
A política do BIA. 
 
A abordagem de análise/avaliação das vulnerabilidades da organização. 
 Identificar, Analisar e avaliar os riscos. 
 
A politica de gestão de continuidade de negócio. 
 
Identificar e avaliar as opções para o tratamento das vulnerabilidades. 
 
 
 
 
 
 
 3a Questão (Ref.: 201403378088) Fórum de Dúvidas (1) Saiba (0) 
 
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o 
SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua 
gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do 
SGSI. Podemos dizer que uma das características da fase "Plan" é: 
 
 
 O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos 
e tecnologia. 
 
A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, 
buscando não burocratizar o funcionamento das áreas. 
 Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão 
apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os 
recursos do SGSI. 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros 
nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e 
os incidente de segurança da informação. 
 
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados 
das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. 
 
 Gabarito Comentado 
 
 
 
 
 4a Questão (Ref.: 201403171568) Fórum de Dúvidas (1) Saiba (0) 
 
No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um 
Problema de Segurança: 
 
 
 
Uma tempestade. 
 
Uma Operação Incorreta ou Erro do usuário. 
 
Uma inundação. 
 
A perda de qualquer aspecto de segurança importante para a organização. 
 Restrição Financeira. 
 
 
 
 
 5a Questão (Ref.: 201403171564) Fórum de Dúvidas (1) Saiba (0) 
 
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a 
organização certificada: 
 
 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
 
implementou um sistema para gerênciada segurança da informação de acordo fundamentado nos 
desejos de segurança dos Gerentes de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os desejos de 
segurança dos funcionários e padrões comerciais. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões e 
melhores práticas de segurança reconhecidas no mercado 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais 
das empresas de TI. 
 
 
 
 
 
 
 6a Questão (Ref.: 201403681295) Fórum de Dúvidas (1) Saiba (0) 
 
Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os 
recursos necessários para: 
 
 
 
Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar 
aos ativos. 
 Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 
 
Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores. 
 
Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. 
 
Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. 
 
 Gabarito Comentado 
 
 
 
 
 Retornar 
 
 
 
 
 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
 
 
Lupa 
 
 
 
 
 Retornar 
Exercício: CCT0059_EX_A9_201403102015 Matrícula: 
Aluno(a): Data: 30/05/2015 17:27:36 (Finalizada) 
 
 
 1a Questão (Ref.: 201403357411) Fórum de Dúvidas (0) Saiba (0) 
 
Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as 
organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o 
perfeito dimensionamento das demais fases de elaboração do plano de continuidade ? 
 
 
 
Auditoria interna 
 
Classificação da informação 
 Análise de impacto dos negócios (BIA) 
 
Análise de vulnerabilidade 
 
Análise de risco 
 
 Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201403688878) Fórum de Dúvidas (0) Saiba (0) 
 
Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de 
Desastres (PRD)? 
 
 
 
O PRD é mais abrangente que o PCN. 
 
O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN 
foca-se na continuidade para todos os processos. 
 O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação 
dos danos causados. 
 
O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre 
somente os ativos de informação. 
 
O PCN só pode ser implementado se o PRD já tiver em uso. 
 
 
 
 
 
 
 3a Questão (Ref.: 201403251852) Fórum de Dúvidas (0) Saiba (0) 
 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você 
está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção 
que melhor retrata a estratégia a ser definida: 
 
 
 
A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
 A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de 
incidentes e seus efeitos. 
 
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de 
incidentes e seus efeitos. 
 
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes 
e seus efeitos. 
 A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência 
de incidentes e seus efeitos. 
 
 
 
 
 4a Questão (Ref.: 201403688882) Fórum de Dúvidas (0) Saiba (0) 
 
Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre? 
 
 
 
Um ataque massivo pela internet. 
 
Eventos de ordem natural ou acidental, como terremotos e incêndios. 
 Um evento que causa uma parada nos processos da organização por um período de tempo maior do que 
ela considera aceitável. 
 
Um evento súbito, que ocorre de maneira inesperada. 
 
Uma catástrofe de grandes impactos. 
 
 Gabarito Comentado 
 
 
 
 
 5a Questão (Ref.: 201403251850) Fórum de Dúvidas (0) Saiba (0) 
 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você 
está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações 
que você deve realizar: 
 
 
 
Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e 
serviços fundamentais para a organização. 
 
Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e 
serviços desnecessários para a organização. 
 
Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de 
produtos e serviços fundamentais para a organização. 
 
Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e 
serviços desnecessários para a organização. 
 Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e 
serviços fundamentais para a organização. 
 
 Gabarito Comentado 
 
 
 
 
 6a Questão (Ref.: 201403681309) Fórum de Dúvidas (0) Saiba (0) 
 
O Plano de Continuidade do Negócio...... 
 
 
 
deve ser elaborado com base em premissas departamentais particulares do que é considerado 
importante ou não. 
 
define uma ação de continuidade imediata e temporária. 
 
não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos 
aos ativos de informação. 
 prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. 
 
precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de 
alguém como os processos organizacionais. 
 
 
 
 
 
 
 Retornar 
 
 
 
 
 
 
 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
 
 
Lupa 
 
 
 
 
 Retornar 
Exercício: CCT0059_EX_A10_201403102015 Matrícula: 
Aluno(a): Data: 30/05/2015 19:00:40 (Finalizada) 
 
 
 1a Questão (Ref.: 201403722742) Fórum de Dúvidas (1) Saiba (0) 
 
Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um 
comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e 
precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da 
rede. Neste caso você irá utilizar: 
 
 
 Um detector de intrusão para realizar a análise do tráfego da rede 
 
Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall 
 
Um analisador de espectro de rede, para analisar o tráfego da rede 
 
Um firewall para auxiliar na análise do tráfego da rede 
 Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede 
 
 Gabarito Comentado 
 
 
 
 
 2a Questão (Ref.: 201403688885) Fórum de Dúvidas (1) Saiba (0) 
 
Que cuidado deve ser tomado no armazenamento de fitas de backup fora da organização? 
 
 
 O local de armazenamento deve estar protegido contra acessos não autorizados.O local de armazenamento deve estar protegido por guardas armados. 
 
O local de armazenamento deve estar a, no mínimo, 25 quilômetros da organização. 
 
O local de armazenamento deve ser de fácil acesso durante o expediente. 
 
O local de armazenamento deve estar a, no mínimo, 40 quilômetros da organização. 
 
 
 
 
 3a Questão (Ref.: 201403735608) Fórum de Dúvidas (1) Saiba (0) 
 
Analise as seguintes afirmações relacionadas à Segurança da Informação e os objetivos do controle de acesso: 
 
I. A disponibilidade é uma forma de controle de acesso que permite identificar os usuários legítimos da 
informação para que lhes possa ser liberado o acesso, quando solicitado. 
 
II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham 
acesso à informação para criá-la, destruí-la ou alterá-la indevidamente. 
 
III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que 
inspeciona uma rede de dentro para fora, identifica e avalia padrões suspeitos que podem identificar um ataque 
à rede e emite um alarme quando existe a suspeita de uma invasão. IV. A integridade é uma forma de controle 
de acesso que evita o acesso de pessoas não autorizadas a informações confidenciais, salvaguardando segredos 
de negócios e protegendo a privacidade de dados pessoais. 
 
Indique a opção que contenha todas as afirmações verdadeiras. 
 
 
 I e III. 
 
III e IV. 
 
II e IV. 
 I e II. 
 
II e III. 
 
 Gabarito Comentado 
 
 
 
 
 4a Questão (Ref.: 201403251875) Fórum de Dúvidas (1) Saiba (0) 
 
Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INCORRETA : 
 
 
 
A Chave Privada deve ser mantida em segredo pelo seu Dono 
 
Chave Publica e Privada são utilizadas por algoritmos assimétricos 
 
Cada pessoa ou entidade mantém duas chaves 
 A Chave Publica não pode ser divulgada livremente, somente a Chave Privada 
 
A Chave Publica pode ser divulgada livremente 
 
 
 
 
 
 
 5a Questão (Ref.: 201403251872) Fórum de Dúvidas (1) Saiba (0) 
 
Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser 
classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar a 
conexão ou não a um serviço em uma rede modo indireto ? 
 
 
 
Filtro com Pacotes 
 
Firewall com Estado 
 
Firewall Indireto 
 Firewall Proxy 
 
Firewall de Borda 
 
 
 
 
 
 
 6a Questão (Ref.: 201403251867) Fórum de Dúvidas (1) Saiba (0) 
 
Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um 
comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e 
precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da 
rede. Neste caso você irá utilizar: 
 
 
 Um detector de intrusão para realizar a análise do tráfego da rede 
 
Um analisador de protocolo para auxiliar na análise do tráfego da rede 
 
Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall 
 
Um sniffer de rede, para analisar o tráfego da rede 
 
Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede 
 
 
 
 
 
 
 Retornar