Baixe o app para aproveitar ainda mais
Prévia do material em texto
GESTÃO DE SEGURANÇA DA INFORMAÇÃO 1a Questão A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do tratamento dos Dados para a sua utilização eficaz nas organizações? Dado - Conhecimento - Informação Dado - Informação - Informação Bruta Dado - Conhecimento Bruto - Informação Bruta Dado - Informação - Dados Brutos Dado - Informação - Conhecimento 2a Questão Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das opções abaixo não representa um exemplo de Ativo Intangível: Imagem da Empresa no Mercado. Marca de um Produto. Confiabilidade de um Banco. Qualidade do Serviço. Sistema de Informação. 3a Questão Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da Informação: Tudo aquilo que a empresa usa como inventario contábil. Tudo aquilo que não manipula dados. Tudo aquilo que é utilizado no Balanço Patrimonial. Tudo aquilo que não possui valor específico. Tudo aquilo que tem valor para a organização. 4a Questão Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos dizer que: A afirmativa é verdadeira somente para ameaças identificadas. A afirmativa é verdadeira somente para vulnerabilidades lógicas. A afirmativa é verdadeira. A afirmativa é falsa. A afirmativa é verdadeira somente para vulnerabilidades físicas. 5a Questão O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual conceito? Risco. Vulnerabilidade. Impacto. Ameaça. Valor. 6a Questão O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará está relacionado com qual conceito de? Impacto. Risco. Valor. Vulnerabilidade. Ameaça. 7a Questão A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor este princípio: Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou processos. Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados. Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de cancelamento posterior. Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado. Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada. 8a Questão O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de "Informação"? É a matéria-prima para o processo administrativo da tomada de decisão; É dado trabalhado, que permite ao executivo tomar decisões; Possui valor e deve ser protegida; Por si só não conduz a uma compreensão de determinado fato ou situação; Pode habilitar a empresa a alcançar seus objetivos estratégicos; 1a Questão Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta? Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Probabilidade das Informações. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a Disponibilidade das Informações. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Disponibilidade das Informações. Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. 2a Questão A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar lucros ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das opções abaixo apresenta os quatro aspectos importantes para a classificação das informações? Confiabilidade, integridade, risco e valor. Confidencialidade, vulnerabilidade, disponibilidade e valor. Confidencialidade, integridade, disponibilidade e valor. Confidencialidade, integridade, disponibilidade e vulnerabilidade . Confiabilidade, integridade, vulnerabilidade e valor. 3a Questão A informação terá valor econômico para uma organização se ela gerar lucro ou se for alavancadora de vantagem competitiva. Neste sentido devemos proteger os diferentes momentos vividos por esta informação que a colocam em risco. Os momentos que colocam em risco esta informação e que chamamos de ciclo de vida são: (Assinale a alternativa I N C O R R E T A). Transporte. Manuseio. Descarte. Consultoria. Armazenamento. 4a Questão As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação? Fragilidade presente ou associada a ativos que exploram ou processam informações . Impacto presente ou associada a ativos que manipulam ou processam informações. Fragilidade presente ou associada a ativos que manipulam ou processam informações . Ameaça presente ou associada a ativos que manipulam ou processam informações. Fragilidade presente ou associada a ameaças que manipulam ou processam informações . 5a Questão A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para: A gestão de orçamento. A gestão da área comercial. A gestão dos negócios da organização . A gestão do ciclo da informação interna. A gestão dos usuários. 6a Questão Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um determinadomomento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Privacidade; Integridade; Confidencialidade; Não-repúdio; Disponibilidade; 7a Questão Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança? Secreta. Irrestrito. Pública. Interna. Confidencial. 8a Questão A informação é um ativo importante dentro da organização, e que deve ser protegido em todas as fases do seu ciclo de vida. Aponte dentre as alternativas abaixo aquela que corresponde ao correto ciclo de vida da informação: Geração, Transporte, Publicação, Apreciação e Arquivamento. Geração, Edição, Correção, Divulgação e Descarte Criação, Edição, Correção, Manuseio e Descarte Desarquivamento, Transporte, Edição, Manuseio e Descarte Geração, Transporte, Armazenamento, Manuseio e Descarte. 1a Questão Maio/2011 - A Sony sofre invasão de hackers com o vazamento de informações de mais de 100 milhões de usuários da rede online de games PlayStation Network. O ataque à base de dados de clientes se realizou desde um servidor de aplicações conectado com ela, e que está depois de um servidor site e dois firewalls. Segundo a companhia, os hackers encobriram o ataque como uma compra na plataforma online de Sony e depois de passar do servidor site, O ataque, que foi considerado um dos maiores, no sentido do vazamento de dados confidenciais, da história obrigou a Sony a reconstruir grande parte da sua rede, causado um prejuízo de 171 milhões de Dólares. A rede também ficou fora do ar por 28 dias, sendo que alguns serviços menos essenciais foram reestabelecidos primeiro e regionalmente antes do reestabelecimento total de todos os serviços. . Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Física Vulnerabilidade Natural Vulnerabilidade de Mídias Vulnerabilidade de Software Vulnerabilidade de Comunicação 2a Questão O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? Risco Dependência Ameaça Problema Vulnerabilidade 3a Questão Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque DDoS e foi descrito como o maior já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕES de blogs, incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre eles, estão inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcançou vários Gigabits por segundo e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do Wordpress, a investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Natural Vulnerabilidade Comunicação Vulnerabilidade Física Vulnerabilidade Mídias Vulnerabilidade Software 4a Questão Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade. Rede elétrica instável. Links sem contingência. Sistema operacional desatualizado. Firewall mal configurado. Funcionário desonesto. 5a Questão As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Software: Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. 6a Questão Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria compartilhe as informações confidenciais que possui. Neste caso estamos falando de vulnerabilidade do tipo: Física Humana Comunicação Natural Mídia 7a Questão Relacione a primeira coluna com a segunda: A. Área de armazenamento sem proteção 1. ativo B. Estações de trabalho 2. vulnerabilidade C. Falha de segurança em um software 3. ameaça D. Perda de vantagem competitiva 4. impacto E. Roubo de informações 5. medida de segurança F. Perda de negócios G. Não é executado o "logout" ao término do uso dos sistemas H. Perda de mercado I. Implementar travamento automático da estação após período de tempo sem uso J. Servidores K. Vazamento de informação A2, B1, C3, D3, E3, F4, G2, H4, I5, J1, K4. A2, B1, C2, D4, E3, F4, G2, H4, I5, J1, K3. A2, B1, C3, D3, E4, F4, G2, H4, I5, J1, K3. A2, B1, C2, D4, E4, F4, G2, H4, I5, J1, K3. A2, B1, C2, D3, E3, F3, G2, H4, I5, J1, K4. 8a Questão A Turner Broadcasting System (TBS), uma divisão da Time Warner que gerencia canais como CNN e Cartoon Network, revelou que sua rede foi infiltrada e atacada pelo worm Rinbot. O Rinbot conseguiu entrar na segurança da informação da TBS usando uma falha no antivírus da Symantec. A vulnerabilidade foi corrigida. O Rinbot, também chamado de Delbot pela Sophos, é um vírus semelhante ao Spybot, Agobot e outros. Ele forma uma rede zumbi com os computadores infectados, permitindo que seu criador obtenha controle total do sistema infectado. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Natural. Vulnerabilidade de Comunicação. Vulnerabilidade Física. Vulnerabilidade de Mídias. Vulnerabilidade de Software. 1a Questão Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnicaque visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( ) Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: 5, 2, 4, 3, 1. 3, 1, 4, 5, 2. 3, 1, 5, 2, 4. 3, 2, 4, 5, 1. 5,1,4,3,2. 2a Questão Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um: active-x worm vírus exploit cavalo de tróia (trojan horse) 3a Questão Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? Ativo Fraco Passivo Forte Secreto 4a Questão Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? Alteração da página inicial apresentada no browser do usuário; Captura de senhas bancárias e números de cartões de crédito; Captura de outras senhas usadas em sites de comércio eletrônico; Alteração ou destruição de arquivos; Monitoramento de URLs acessadas enquanto o usuário navega na Internet 5a Questão Pedro construiu um software malicioso capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Neste caso podemos afirmar que Pedro construiu um: Backdoor Trojan Keylogger Screenlogger Worm 6a Questão As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade? Ocasionais, Involuntárias e Obrigatórias. Naturais, Involuntárias e Voluntarias. Naturais, Voluntarias e Vulneráveis. Naturais, Voluntarias e Obrigatórias. Naturais, Involuntárias e Obrigatórias. 7a Questão Pedro construiu um software malicioso capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Neste caso o programa poderá afetar o desempenho da rede e a utilização do computador. Neste caso podemos afirmar que Pedro construiu um: Screenlogger Keylogger Trojan Worm Backdoor 8a Questão As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua intencionalidade: Natural, presencial e remota Voluntária, involuntária e intencional Natural, voluntária e involuntária Intencional, proposital e natural Intencional, presencial e remota 1a Questão Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Consiste na verificação do lixo em busca de informações que possam facilitar o ataque. É uma técnica eficiente e muito utilizada e que pode ser considerada legal visto que não existem leis a respeito dos lixos. Neste caso é interessante que as informações críticas da organização (planilhas de custos, senhas e outros dados importantes) sejam triturados ou destruídos de alguma forma. Qual seria este ataque: Ip Spoofing. Syn Flooding. Port Scanning. Packet Sniffing. Dumpster diving ou trashing. 2a Questão João e Pedro são administrador de sistemas de uma importante empresa e estão instalando uma nova versão do sistema operacional Windows para máquinas servidoras. Durante a instalação Pedro percebeu que existem uma série de exemplos de códigos já prontos para serem executados, facilitando assim o trabalho de administração do sistema. Qual o tipo de ataque que pode acontecer nesta situação? Shrink Wrap Code Dumpster Diving ou Trashing Phishing Scan Smurf Fraggle 3a Questão Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das opções abaixo Não representa um destes passos? Levantamento das Informações Divulgação do Ataque Obtenção de Acesso Camuflagem das Evidências Exploração das Informações 4a Questão Qual o nome do ataque é foi utilizado em guerras na Grécia, é hoje é aplicado como conceito a área computacional. O ataque é enviado um possível programa, mas que na verdade é um código malicioso. Qual o nome desse código malicioso ? Spyware Backdoor Rootkit Adware Trojan 5a Questão Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de comércio eletrônico. Hijackers. Phishing. Wabbit. Trojans. Exploits. 6a Questão Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque? Camuflagem das Evidências Obtenção de Acesso Levantamento das Informações Exploração das Informações Divulgação do Ataque 7a Questão Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas do protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em cada porta. Qual seria este ataque: Packet Sniffing. Syn Flooding. Ip Spoofing. Fraggle. Port Scanning. 8a Questão Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções abaixo Não representa um destes tipos de ataques? Ataque aos Sistemas Operacionais Ataque de Configuração mal feita Ataque à Aplicação Ataque para Obtenção de Informações Ataques Genéricos 1a Questão Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: Entender os riscos associados ao negócio e a gestão da informação Manter a reputação e imagem da organização Melhorar a eficácia no controle de riscos Eliminar os riscos completamente e não precisar mais tratá-los Melhorar a efetividade das decisões para controlar os riscos 2a Questão Referente ao processo de Gestão de incidentes,qual é a sequência na ordem que compõem o processo de gestão de incidentes ? Incidente, recuperação, impacto e ameaça Ameaça, impacto, incidente e recuperação Incidente, impacto, ameaça e recuperação Impacto, ameaça, incidente e recuperação Ameaça, incidente, impacto e recuperação 3a Questão Vamos analisar cada item. E marque a alternativa correta. O driver do HD possibilita a comunicação entre o HD e o computador/sistema operacional; O antivírus é uma ferramenta que auxilia no combate às pragas eletrônicas O HTTP (hipertexto transfer protocol)? a ? é o protocolo utilizado pela WEB; O FTP (file transfer protocol) é o protocolo para transferência de arquivos do conjunto TCP/IP. Não é o único capaz de transferir arquivos, mas este é especializado e possui vários comandos para navegação e transferência de arquivos; RSS (Really Simple Syndication) é uma forma de Feed que possibilita ao usuário receber dados de diversas fontes, reunindo-os em único local; 4a Questão Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter": Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. 5a Questão Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da Informação: Probabilidade de uma ameaça explorar uma vulnerabilidade Probabilidade de um incidente ocorrer mais vezes. Probabilidade de um ativo explorar uma vulnerabilidade. Probabilidade de um ativo explorar uma ameaça. Probabilidade de uma ameaça explorar um incidente. 6a Questão Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de incidentes sequencialmente ? Ameaça, impacto, incidente e recuperação Incidente, impacto, ameaça e recuperação Impacto, ameaça, incidente e recuperação Ameaça, incidente, impacto e recuperação Incidente, recuperação, impacto e ameaça 7a Questão Qual das opções abaixo representa o tipo de ação quando observamos que o custo de proteção contra um determinado risco não vale a pena ser aplicado: Recusar o Risco Comunicação do Risco Garantia do Risco Aceitação do Risco Monitoramento do Risco 8a Questão Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra um determinado risco está muito além das possibilidades da organização e portanto não vale a pena tratá-lo. Neste caso você: Rejeita o risco Ignora o risco Trata o risco a qualquer custo Aceita o risco Comunica o risco 1a Questão Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Os riscos residuais são conhecidos antes da comunicação do risco. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. 2a Questão A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança? Segurança em Recursos Humanos Gerenciamento das Operações e Comunicações Desenvolvimento e Manutenção de Sistemas Controle de Acesso Segurança Física e do Ambiente 3a Questão Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 4a Questão Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos: Integridade, prevenção e proteção Autenticidade, originalidade e abrangência Prevenção, proteção e reação Integridade, confidencialidade e disponibilidade Flexibilidade, agilidade e conformidade 5a Questão A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como objetivo apresentar recomendações para: Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso Resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação. Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. 6a Questão Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de controle, processos e procedimentosatendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 7a Questão De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve: revelar informações sensíveis da organização. conter o registro dos incidentes de segurança da organização. apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos. ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização. conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção. 8a Questão A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos levando-se em conta os objetivos e _________________ globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ____________ e do impacto potencial ao negócio. oportunidades, ações estratégias, ameaças oportunidades, vulnerabilidades determinações, ações especulações, ameaças 1a Questão Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações? Administrativa, Contábil e Física. Administrativa, Física e Lógica. Administrativa, Física e Programada. Lógica, Administrativa e Contábil. Lógica, Física e Programada. 2a Questão A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. 3a Questão A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Prevenção e Preventivas. Corretivas e Correção. Corrigidas e Preventivas. Corretivas e Corrigidas. Corretivas e Preventivas. 4a Questão A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise: Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores Os resultados das auditorias anteriores e análises críticas A realimentação por parte dos envolvidos no SGSI A avaliação das ações preventivas e corretivas A avaliação dos riscos e incidentes desejados 5a Questão A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ? Preventiva Correção Limitação Desencorajamento Reação 6a Questão O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. Selecionar objetivos de controle e controles para o tratamento de riscos. A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. 7a Questão Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: III e IV. I e III. II e III. I e II. II. 8a Questão Após a implantação do Sistema de Gestãode Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. Definir e medir a eficácia dos controles ou grupos de controle selecionados. Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. 1a Questão Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade ? Análise de vulnerabilidade Análise de risco Auditoria interna Classificação da informação Análise de impacto dos negócios (BIA) 2a Questão O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"? A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa. 3a Questão Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações. No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento: Determinando a estratégia de continuidade de negócios. Incluindo a GCN na cultura da organização. Desenvolvendo e implementando uma resposta de GCN. Testando, mantendo e analisando criticamente os preparativos de GCN. Entendendo a organização. 4a Questão Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre? Um evento que causa uma parada nos processos da organização por um período de tempo maior do que ela considera aceitável. Um evento súbito, que ocorre de maneira inesperada. Um ataque massivo pela internet. Uma catástrofe de grandes impactos. Eventos de ordem natural ou acidental, como terremotos e incêndios. 5a Questão BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios. Estatística e Ordenada Qualitativa e Quantitativa Clara e Intelegível Natural e Desordenada Simples e Objetiva. 6a Questão O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"? Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa. Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. 7a Questão Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que: As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas As metas e objetivos definidos sejam comprometidos por interrupções inesperadas As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas 8a Questão De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de continuidade do negócio (GCN). GCN é uma abordagem alternativa à gestão de riscos de segurança da informação. A implementação da resposta de GCN compreende a realização dos testes dos planos de respostaa incidentes, de continuidade e de comunicação. A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de interrupção das atividades críticas da organização. A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou) atividades críticas e recursos de suporte de uma organização. GCN é a fase inicial da implantação da gestão de continuidade em uma organização. 1a Questão Considerando que um usuário deseje enviar um e-mail criptografado, assinale a alternativa que apresenta a chave do destinatário que esse usuário deverá conhecer para realizar corretamente a criptografia. Chave criptografada privada Chave certificada Chave privada Chave pública Chave criptografada pública 2a Questão Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é correto afirmar que? A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a mesma chave A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas chaves A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes 3a Questão A sub-rede, também conhecida como rede de perímetro, utilizada para transmitir informações entre uma rede confiável e uma não confiável, mantendo os serviços que possuem acesso externo separados da rede local, é chamada de: VPN DMZ Firewall Proxy Intranet 4a Questão São exemplos de ativos associados a sistemas (pertinentes para a identificação de ameaças), exceto: Serviços Hardware Informação Softwares Pessoas 5a Questão Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INCORRETA : Cada pessoa ou entidade mantém duas chaves A Chave Privada deve ser mantida em segredo pelo seu Dono Chave Publica e Privada são utilizadas por algoritmos assimétricos A Chave Publica não pode ser divulgada livremente, somente a Chave Privada A Chave Publica pode ser divulgada livremente 6a Questão Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade certificadora confiável. Uma mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores. A mensagem de Ana para Bernardo deve ser assinada e criptografada com a chave privada de Bernardo. com a chave privada de Ana e criptografada com a chave pública de Bernardo. e criptografada com a chave pública de Ana. com a chave privada de Bernardo e criptografada com a chave pública de Ana. com a chave pública de Ana e criptografada com a chave privada de Bernardo. 7a Questão Dentre as vantagens de utilização de normas, podemos destacar as seguintes, EXCETO: Demonstração de liderança de mercado Atrair e manter clientes Desenvolvimento e manutenção das melhores práticas Criação de vantagens competitivas Compartilhamento de informações com os stakeholders 8a Questão A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo (inseguro), é conhecida como: wi-fi. pki. tcp/ip. backbone. zona desmilitarizada (DMZ).
Compartilhar