Segurança da informação - compilado de provas

Prévia do material em texto

Segurança da informação
Questão 1:
Os Pilares da Segurança da Informação são representados pelos princípios de segurança da informação que devem ser preservados, dessa forma é correto afirmar que: 
I - Proteger a integridade remete à responsabilidade de garantir que as informações não sofram alterações em todos os seus estados possíveis. 
II - O princípio de confidencialidade visa garantir que o acesso à informação seja dado apenas para aqueles usuários legitimados a acessar a informação. 
III - O princípio de austeridade remete a garantir que a informação permaneça o tempo todo protegida contra ação de hackers. 
IV - Proteger a excentricidade da informação é preservar aquelas informações que são diferentes das demais. 
Assinale a alternativa CORRETA:
D) Apenas as afirmativas I e II estão corretas
Questão 2: 
A terceirização de serviços pode implicar em diversos riscos à segurança da informação corporativa, quando a terceirização está presente no ambiente de TI, especificamente no de desenvolvimento de sistemas, alguns aspectos requerem atenção, segundo a Norma ISO 27001. São eles: 
I - Acordos sobre licenças, propriedade do código-fonte e direitos de propriedade intelectual. 
II - Certificação da qualidade e da exatidão do trabalho implementado.
III - Direitos de acesso para auditoria da qualidade e da exatidão do trabalho executado. 
IV - Teste antes da instalação para detecção de código que possa afetar o sistema de forma não autorizada, não controlada e não solicitada pelo cliente (tais como, cavalos de troia). 
Assinale a alternativa CORRETA:
E) As afirmativas I, II, III e IV estão corretas
Questão 3: 
As fontes dos incidentes de segurança da informação podem ser originadas de formas:
A) Naturais, Acidentais e Intencionais.
Questão 4: 
Rafael Damasceno Junior, na empresa em que trabalha, achava que tinha se deparado com um incidente de segurança da informação. Quando perguntou o que deveria fazer, recebeu a resposta que precisaria procurar o time de resposta a incidentes da empresa para entender o que tinha ocorrido. Sobre o processo de identificação de eventos, incidentes e características do time de resposta a incidentes, é correto afirmar que:
I - Evento é uma cadeia de eventos maliciosos sobre um sistema de informação que implica em comprometimento ou tentativa de comprometimento da segurança. 
II - Incidente é uma ocorrência observável a respeito de um sistema de informação a exemplo de um e-mail, um telefonema, o travamento de um servidor (crash). 
III - O time de resposta a incidentes é formado por um grupo de profissionais pertencentes a diversos departamentos da corporação, devidamente treinados, com larga experiência nas suas respectivas áreas, cuja missão é atender e acompanhar, imediatamente, incidentes de segurança no ambiente computacional da empresa, seguindo procedimentos previamente estabelecidos. 
IV - Para a estruturação de um CIRT, é necessário entender claramente o seu objetivo. Para isto, temos de conceituar o que são eventos e incidentes de segurança da informação.
Assinale a alternativa CORRETA:
D) Apenas as afirmativas III e IV estão corretas.
Questão 5: 
As mudanças sociais influenciadas pela nova ordem social, a chamada sociedade digital, vêm transformando o relacionamento entre as pessoas e as instituições. Sobre a sociedade digital e os novos desafios que ela traz, é correto afirmar que:
I - Na sociedade digital todos estão conectados, não existem apenas os amigos do bairro, mas os amigos de qualquer parte do mundo, o mesmo se estende às empresas, que passaram a atender clientes em qualquer lugar do mundo; o que dinamiza e maximiza o relacionamento, mas por outro lado aumenta necessidade de segurança. 
II - As instituições como escolas, hospitais, governos, forças armadas e igrejas também estão sendo influenciadas pela nova realidade imposta pela sociedade digital e por esse motivo estão se adaptando a ela. 
III - O grande e rápido avanço tecnológico nos faz cada vez mais dependentes da tecnologia, isso nos remete a maiores preocupações com a segurança de nossas informações. 
IV - Apesar de todas as transformações sociais que a nova realidade da sociedade digital trouxe, nosso modo de vida não foi modificado, permanecendo o mesmo de vinte anos atrás.
Assinale a alternativa CORRETA:
B) Apenas as afirmativas I, II e III estão corretas.
Questão 6: 
Responsável pela área de segurança física das informações corporativas, Miguel Migerato deve se atentar a alguns fatores fundamentais para a proteção dos ativos de informação, inclusive onde estão fisicamente abrigadas. Dentre os aspectos relacionados à segurança física podemos afirmar que: 
I - A segurança física cuida da proteção de todos os ativos valiosos da organização, por essa razão sua abrangência extensa vai desde as instalações físicas, até as internas e externas. 
II - A segurança física não precisa se preocupar com as instalações externas à empresa.
 III - Quando nos referimos à segurança física, a palavra prevenção vem em primeiro lugar, medidas preventivas devem ser tomadas, o que pode ser chamado de barreiras de segurança.
IV - As barreiras de segurança nada mais são do que criar algumas formas de impedimento físico, a fim de evitar uma invasão, por exemplo, com uma cerca elétrica.
Assinale a alternativa CORRETA:
C) Apenas as afirmativas I, III e IV estão corretas.
Questão 7: 
As normas de segurança da informação são importantes para determinar “o que fazer”, ou seja, definir as diretrizes para os procedimentos e não os procedimentos em si. São consideradas Normas de Segurança da Informação as seguintes normas: 
I - Regras e procedimentos de instalação de Aplicativos em Ambiente Departamental. 
II - Classificação da Informação. 
III - Usuários de Redes. 
IV - Uso do E-mail Corporativo. 
Assinale a alternativa CORRETA:
E) Apenas as afirmativas II, III e IV estão corretas.
Questão 8: 
Sabemos que o Plano de Continuidade do Negócio (PCN), refere-se à estratégia de ação para recuperar os processos-chave da empresa em caso de uma parada (desastre) a fim de que ao menos eles continuem em operação em um período determinado de tempo. Sobre um PCN é correto afirmar que: 
I - Desastre pode ser considerado qualquer evento súbito que venha a parar a operação da empresa. 
II - Um PCN tem como missão mapear os processos de negócio da empresa, identificando os processos críticos a serem restaurados. 
III - As empresas podem preparar sua recuperação em três níveis - para a Organização, para os Processos e para as Atividades. 
IV - O principal escopo do PCN está vinculado à Estrutura Física da Empresa. 
Assinale a alternativa CORRETA:
E) As afirmativas I, II, III e IV estão corretas.
Questão 9: 
A Política de Segurança da Informação traz em sua intenção duas filosofias explicitas que são: 
I - A Filosofia Proibitiva em que tudo que não é expressamente permitido é proibido e a Filosofia Permissiva em que tudo que não é proibido é permitido. 
II - A Filosofia Realista que encara os assuntos de segurança da informação sem esconder nada e a Filosofia Objetiva em que suas diretrizes são diretas e objetivas para fácil entendimento. 
III - A Filosofia Realista que encara os assuntos de segurança da informação sem esconder nada e a Filosofia Proibitiva em que tudo que não é expressamente permitido é proibido. 
IV - A Filosofia Permissiva em que tudo que não é proibido é permitido e a Filosofia Objetiva em que suas diretrizes são diretas e objetivas para fácil entendimento. 
Assinale a alternativa CORRETA:
A) Apenas a afirmativa I está correta.
Questão 10: 
O processo de elaboração de uma Política de Segurança da Informação precisa levar em consideração 4 (quatro) requisitos que devem ser atendidos e respeitados. São eles: 
I - Requisitos da executiva, do mercado, de crédito e do governo. 
II - Requisitos de dados, de informação, de risco e de mercado.
III - Requisitos do negócio, legais, de análise de riscos e de controle. 
IV -Requisitos de negócio, da direção, de controle e de informação.
Assinale a alternativa CORRETA:
C) Apenas a afirmativa III está correta.
Questão 11: 
Adamastor Freitas Jr., recentemente nomeado para o cargo de Security Officer, da indústria farmacêutica “Agora é com a gente”, foi incumbido de estruturar a área de segurança e logo percebeu a necessidade de desenvolver uma Política de Segurança da Informação, porque: 
I - A Política de Segurança têm como objetivo principal direcionar um programa efetivo de proteção dos ativos de informação, tais como base de dados, documentos, arquivos e outros. 
II - Sua criação não influencia as demais Normas de Segurança da Informação da empresa. 
III - A partir da sua existência, pode-se estabelecer os procedimentos operacionais, as instruções de trabalho e os padrões de segurança.
 IV - A Política de Segurança é conjunto de diretrizes da empresa que visam a proteção das informações da empresa e de seus clientes com base nos princípios de segurança da informação (confidencialidade, integridade e disponibilidade), nas melhores práticas de mercado, bem como nos padrões nacionais e internacionais. 
Assinale a alternativa CORRETA:
C) Apenas as afirmativas I, III e IV estão corretas.
Questão 12: 
Ao implantar um sistema de autenticação Carlos Ricardo, analista de segurança da informação, se deparou com as seguintes possibilidades: 
I - Ele constatou que existem 4 (quatro) formas de autenticação em um sistema de autenticação. 
II - Um dos métodos a ser utilizado é o método de autenticação baseado em “o que você sabe”; refere-se ao que os usuários sabem utilizar, o meio mais comum dessa técnica é o uso de senhas para a autenticação.
III - Um dos métodos a ser utilizado é o de método de autenticação que utiliza “o que você tem”; é baseado em dispositivos físicos como tokens ou smartcards que são entregues aos usuários que devem guardar para uso no momento em que o sistema fizer a requisição. 
IV - Outro método é baseado de autenticação “pelo que você é”; baseia-se em características físicas (reconhecimento biométrico) como, por exemplo, o uso de impressão digital para o acesso a sistemas. Assinale a alternativa CORRETA:
E) Apenas as afirmativas II, III e IV estão corretas.
Questão 13: 
Proteções podem ser definidas como medidas que serão adotadas para proporcionar segurança aos ativos de informação. Cabe ressaltar que o balanceamento entre o custo e o benefício são fundamentalmente necessários. As proteções são implantadas sob três aspectos, que são:
C) Lógica, Física e Administrativa.
Questão 14: 
Dentro de um Plano de Continuidade do Negócio (PCN), especificamente sobre o Business Impact Analysis (BIA) ou a Análise de Impacto ao Negócio (AIN), é correto afirmar que: 
I - Serve para determinar o tempo máximo de parada de um processo. 
II - Trata-se de questionário elaborado para mapear os processos nos quais o gestor é o responsável por responder. 
III - Somente o BIA é suficiente para elaboração de um PCN. 
IV - É componente chave para a elaboração de um PCN.
Assinale a alternativa CORRETA:
C) Apenas as afirmativas I, II e IV estão corretas.
Questão 15: 
No processo de auditoria, os controles internos são fundamentais pois são ferramentas que visam minimizar problemas que possam causar impacto nas operações e no cotidiano das organizações. Sobre os controles internos é correto afirmar que: 
I - Os controles internos utilizam ou não recursos computacionais, eles podem ser preventivos quando visam evitar erros, falhas e promover boas práticas; detectivos quando identificam ou corrigem problemas e corretivos quando visam sanar o problema ocorrido. 
II - Os controles internos são implantados e respeitados apenas e somente para as áreas de Tecnologia da Informação da organização. 
III - O controle interno pode ser definido como um plano de organização e todos os métodos e as medidas coordenadas, aplicadas em uma organização a fim de proteger seus bens, conferir a exatidão e a fidelidade de seus dados contábeis, promover a eficiência operacional e estimular a obediência às diretrizes administrativas estabelecidas. 
IV - Os processos focados em tecnologia da informação não necessitam da definição de controles internos, uma vez que eles suportam os próprios controles. 
Assinale a alternativa CORRETA:
A) Apenas as afirmativas I, IV estão corretas.
Questão 16: 
As ameaças à segurança física estão presentes em maior número, porém são mais fáceis de identificar. Podemos considerar como ameaças à segurança física: 
I - Roubos e Furtos. 
II - Invasão de sistemas por ação de crackers. 
III - Sequestro e chantagem. 
IV - Vazamento de água e enchentes. 
Assinale a alternativa CORRETA:
C) Apenas as afirmativas I, III e IV estão corretas.
Questão 17: 
A Política de Segurança da Informação traz em sua intenção duas filosofias explicitas que são: 
I - A Filosofia Proibitiva em que tudo que não é expressamente permitido é proibido e a Filosofia Permissiva em que tudo que não é proibido é permitido. 
II - A Filosofia Realista que encara os assuntos de segurança da informação sem esconder nada e a Filosofia Objetiva em que suas diretrizes são diretas e objetivas para fácil entendimento. 
III - A Filosofia Realista que encara os assuntos de segurança da informação sem esconder nada e a Filosofia Proibitiva em que tudo que não é expressamente permitido é proibido. 
IV - A Filosofia Permissiva em que tudo que não é proibido é permitido e a Filosofia Objetiva em que suas diretrizes são diretas e objetivas para fácil entendimento. 
Assinale a alternativa CORRETA:
A) Apenas a afirmativa I está correta.
Questão 18: 
Mecanismos de proteção isolados não garantem a segurança das informações, por essa razão é importante utilizar mecanismos de proteção em camadas; é correto afirmar que: 
I - O tipo de proteção desencorajadora visa inibir a prática de ações de invasão. 
II - O tipo de proteção limitadora visa diminuir os danos causados. 
III - O tipo de proteção reativa visa reagir a determinados incidentes. 
IV - O tipo de proteção recuperadora visa defender de determinados incidentes. 
Assinale a alternativa CORRETA:
D) As afirmativas I, II, III e IV estão corretas.
Questão 19: 
A segurança física vai além de proteger o perímetro de segurança com cercas e circuito fechado de TV, ela também se preocupa com a proteção dos ativos de informação na forma impressa e para tratar informações confidenciais impressas, é correto afirmar que: 
I - Deve-se usar rótulos para identificar documentos que requerem tratamento confidencial. 
II - O estabelecimento de uma política para armazenamento de papéis que assegure a guarda em local protegido para informações confidenciais ou críticas ao negócio como cofres ou arquivos resistentes a fogo. 
III - A adoção de procedimentos especiais para impressão e transmissão via fax de documentos confidenciais. 
IV - Procedimentos especiais para envio de documentos em papéis via correio ou entregadores devem ser adotados para informações confidenciais, como, por exemplo, envelopes lacrados. 
Assinale a alternativa CORRETA:
E) As afirmativas I, II, III e IV estão corretas.
Questão 20: 
A informação dentro de uma empresa possui estágios, o qual chamamos de ciclo de vida da informação; eles requerem atenção especial e diferenciada. Sobre essa atenção, é correto afirmar que: 
I - Na fase de armazenamento, os ativos de informação que não estão sendo ou que já foram tratados ou transmitidos devem ser devidamente guardados de forma organizada para possíveis consultas futuras, os locais mais comuns de armazenamento são os arquivos físicos e os bancos de dados, que nesse caso não requerem proteção. 
II - Na etapa de transmissão da informação, por algum motivo, a informação será passada de um ponto a outro através de algum canal de comunicação, o qual podemos citar os canais estruturados como e-mails, internet, links dedicados e os canais não estruturados com a voz. Essa etapa é a que está menossuscetível a ataques. 
III - A fase de descarte acontece quando a informação por não ser mais necessária será finalmente excluída do rol de informações da organização. Apesar de não ter mais importância, o descarte inadequado pode, ainda assim, causar prejuízos à segurança da informação. 
IV - A geração da informação é marcada por sua aquisição, criação no ambiente interno, pode ser retirada de banco de dados, mídias, internet e outras fontes de informação ou simplesmente herdada de uma área ou uma empresa. 
Assinale a alternativa CORRETA:
E) Apenas as afirmativas III e IV estão corretas.
Questão 21: 
Os profissionais de segurança da informação devem encarar a segurança física com muita responsabilidade e gerir os recursos necessários para assegurar essa importante área de seu trabalho; para isso é necessário: 
I - Adotar práticas de gestão idênticas àquelas da gestão da segurança da informação: análise e avaliação de risco e elaboração de normas. 
II - Projetar a segurança dos recursos físicos como cercas, muros e extintores de incêndio não são atribuições da segurança física. 
III - Definir o perímetro de segurança também faz parte das responsabilidades da segurança física. 
IV - Compreender o ambiente físico da organização é o primeiro passo para a identificação das vulnerabilidades que podem dar espaço às ameaças que talvez comprometam o ambiente físico da organização. 
Assinale a alternativa CORRETA:
C) Apenas as afirmativas I, III e IV estão corretas.
Questão 22: 
A Empresa KWML foi alvo de ataques direcionados que exploraram uma vulnerabilidade conhecida, o ataque foi identificado como de backdoors. Sobre essa forma de ataque é correto afirmar que: 
I - Tem como objetivo infectar outros arquivos, ou propagar cópias de si mesmo automaticamente. 
II - Não depende necessariamente de uma invasão, vem da consequência de instalação e má configuração de um programa de administração remota. 
III - Alguns fabricantes incluem backdoors em seus produtos (softwares e sistemas operacionais), alegando necessidades administrativas. 
IV - Trate-se de software malicioso que uma vez instalado no computador, monitora as atividades de seus usuários, coletando informações (senhas, logins e documentos) e as enviando para terceiros. Assinale a alternativa CORRETA:
D) Apenas as afirmativas II e III estão corretas.
Questão 23: 
A classificação da informação é determinante para dois fatores, economia e proteção, uma vez que a adoção de mecanismos de proteção tem custo alto e por essa razão é necessário saber quais informações requerem maior proteção, mas para isso é necessário: 
I - Que o proprietário da informação seja o responsável por classificar sua informação, afinal ele que sabe o seu real valor. 
II - Uma vez definida a classificação para um determinado ativo de informação, ela nunca mais poderá ser alterada, sendo respeitada perpetuamente na organização. 
III - A classificação da informação pode ter diversas formas, dependendo de qual dos princípios pretende atender, e sua rotulação deve seguir o ponto de vista determinado e suas exigências. 
IV - A classificação de ativos físicos, softwares e serviços não é uma tarefa das mais fáceis, geralmente pode ser feita com a criação de grupos de ativos, levando-se em conta limites preestabelecidos por características comuns, por exemplo o tipo de usuários, a segmentação dos ativos proporciona a oportunidade de criação de estratégias diferenciadas de proteção. 
Assinale a alternativa CORRETA:
C) Apenas as afirmativas I, III e IV estão corretas.
Questão 24: 
No processo de auditoria, os controles internos são fundamentais pois são ferramentas que visam minimizar problemas que possam causar impacto nas operações e no cotidiano das organizações. Sobre os controles internos é correto afirmar que: 
I - Os controles internos utilizam ou não recursos computacionais, eles podem ser preventivos quando visam evitar erros, falhas e promover boas práticas; detectivos quando identificam ou corrigem problemas e corretivos quando visam sanar o problema ocorrido. 
II - Os controles internos são implantados e respeitados apenas e somente para as áreas de Tecnologia da Informação da organização. 
III - O controle interno pode ser definido como um plano de organização e todos os métodos e as medidas coordenadas, aplicadas em uma organização a fim de proteger seus bens, conferir a exatidão e a fidelidade de seus dados contábeis, promover a eficiência operacional e estimular a obediência às diretrizes administrativas estabelecidas. 
IV - Os processos focados em tecnologia da informação não necessitam da definição de controles internos, uma vez que eles suportam os próprios controles. 
Assinale a alternativa CORRETA:
A) Apenas as afirmativas I, IV estão corretas.
Questão 25: 
Sobre a segurança da informação dentro do processo de transmissão de informação é correto afirmar que: 
I - Transmitir a informação no processo de comunicação requer atenção especial, pois nesse momento a informação irá trafegar de um ponto a outro e pode incorrer em problemas como interceptação e alteração fraudulenta. 
II - Garantir a integridade no processo de transmissão de informações quando o conteúdo da mensagem que foi enviada pelo emissor chegar ao receptor de forma completa e exata. 
III - Assegurar a confidencialidade do conteúdo transmitido é garantir que apenas os destinatários devem ter acesso ao conteúdo da informação. 
IV - Garantir a capacidade de recuperação do conteúdo pelo receptor que visa a restauração do conteúdo em sua forma original caso ocorram problemas na comunicação. 
Assinale a alternativa CORRETA:
E) Todas as afirmativas estão corretas.