Conceitos de Segurança da Informação

Prévia do material em texto

O estudo de impactos faz parte de um plano diretor de segurança, que tem como objetivo montar um mapa de relacionamento e dependência entre processos de negócio, aplicações e infraestrutura física, tecnológica e humana. É realizada uma análise para cada aspecto da segurança da informação (CIDAL – Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade). Os níveis de impacto são classificados em cinco níveis. Considerando a sequência do menor impacto para o maior impacto, assinale a alternativa que corresponde à sequência correta:
Escolha uma:
a. Importante, crítico, vital, não considerável e relevante.
b. Vital, crítico, importante, relevante e não-considerável.
c. Não-considerável, relevante, importante, crítico e vital.
d. Não-considerável, importante, relevante, crítico e vital.
e. Relevante, não-considerável, importante, vital e crítico.
Feedback
A resposta correta é: Não-considerável, relevante, importante, crítico e vital..
Questão 2
Correto
Remover rótulo
Texto da questão
Assinale a alternativa que corresponde à etapa de uso, dentro do ciclo de vida da informação:
Escolha uma:
a. Quando é gerado valor agregado à informação.
O ciclo de vida da informação é composto de seis etapas: obtenção, tratamento, armazenamento, distribuição, uso e descarte. O uso é a etapa mais importante, pois é quanto é gerado valor agregado à informação, podendo gerar informações gerenciais que podem ser utilizadas para tomadas de decisões, entre outros propósitos. Fonte: Cap 1, pag. 9,10
b. A informação é conservada para futura utilização.
c. A informação é criada, ou obtida através de uma fonte externa.
d. Quando é realizado algum tipo de organização ou formatação da informação.
e. Quando é realizado o expurgo de informações.
Feedback
A resposta correta é: Quando é gerado valor agregado à informação..
Questão 3
Correto
Marcar questão
Texto da questão
Quanto aos conceitos complementares de Segurança da Informação, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente:
(__) Ativo de informação: É a própria informação somada a qualquer componente que a sustenta ou se utiliza dela.
(__) Ataque: São os meios utilizados para resolução das vulnerabilidades.
(__) Vulnerabilidade: É o ponto fraco de um ativo.
(__) Ameaça: É a exploração de uma falha por um agente.
(__) Controle: São os meios utilizados para resolução das vulnerabilidades.
Escolha uma:
a. V,F,V,F,V
A alternativas I, III e V são verdadeiras. A alternativa II é falsa pois o ataque é a exploração de uma falha por um agente. A alternativa IV é falsa pois a ameaça é a iminência de um ataque, caracterizado pela exposição de uma vulnerabilidade a um meio hostil. Fonte: Cap 1, pag. 5,6
b. V,V,V,V,V
c. F,F,V,F,V
d. V,F,V,V,F
e. F,F,V,F,V
Feedback
A resposta correta é: V,F,V,F,V.
Questão 4
Correto
Marcar questão
Texto da questão
A implantação de uma política de segurança da informação em uma organização apresenta benefícios a curto, médio e longo prazo. Assinale a alternativa que corresponde ao benefício de longo prazo:
Escolha uma:
a. Padronização dos procedimentos e conformidade com padrões de segurança (normas ISO/IEC).
b. Implantação de controles para resolução de vulnerabilidades
c. Retorno do investimento por meio de redução de problemas e incidentes.
Divulgação, características e benefícios da política de segurança da informação Gabarito comentado: opção (D), O retorno do investimento por meio de redução de problemas e incidentes de segurança só pode ser obtido após um longo período de implementação e uso da política de segurança da informação em uma organização. Fonte: Cap 1, pag. 12
d. Redução imediata de probabilidade de ataques a ativos de informação.
e. Maior segurança nos processos, através da implementação de novos procedimentos e prevenção de acessos não autorizados.
Feedback
A resposta correta é: Retorno do investimento por meio de redução de problemas e incidentes..
Questão 5
Correto
Marcar questão
Texto da questão
Quanto à norma NBR/ISO 27002:2013, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente:
O objetivo desta norma é prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
Os controles presentes no Anexo A da ISO 27001 são detalhados na ISO 27002.
Adota o modelo conhecido como Plan-Do-Check-Act (PDCA).
A certificação é feita para pessoa física.
Escolha uma:
a. F,V,F,V
Tema: Norma NBR/ISO 27002:2013, opção (C). A alternativas II e IV são verdadeiras. A alternativa I é falsa pois a tarefa prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI cabe à ISO 27001. A alternativa III é falsa pois o modelo PDCA é adotado na ISO 27001. Fonte: Cap 2, pag. 8,9,10
b. F,V,V,V
c. V,F,V,V
d. F,V,V,F
e. F,F,V,F
Feedback
A resposta correta é: F,V,F,V.
Questão 6
Correto
Marcar questão
Texto da questão
As normas da família ISO 27000 herdaram a padronização instituída na década de 1990 pela norma:
Escolha uma:
a. ISO 14001
b. BS7799
Tema: Introdução às normas e padrões de segurança da informação, opção (D). A padronização para a área de segurança da informação foi iniciada pelo BSI (British Standard Institute) com a criação da norma BS7799 na década de 1990, sendo considerado o mais completo padrão para o gerenciamento da segurança da informação no mundo. Fonte: Cap 2, pag. 2
c. ISO 9001
d. BS7750
e. IEEE 802.1
Feedback
A resposta correta é: BS7799.
Questão 7
Correto
Remover rótulo
Texto da questão
Sobre o “Anexo A” da norma NBR ISO/IEC 27001:2013, assinale a afirmativa correta:
Escolha uma:
a. Trata-se da descrição de controles com os mesmos nomes dos controles da norma ISO 27002.
Tema: Norma NBR/ISO 27001:2013, opção (A). O Anexo A da ISO 27001 apresenta forte relacionamento com a norma ISO 27002. Neste anexo os controles são apresentados em apenas uma frase, porém na norma ISO 27002 os mesmos controles são detalhados em páginas inteiras. Fonte: Cap 2, pag. 9
b. Trata-se de um guia para obter a certificação da norma ISO 27001.
c. Trata-se do detalhamento da abordagem Plan-Do-Check-Act (PDCA).
d. Trata-se da descrição detalhada de como implementar um Sistema de Gestão de Segurança da Informação (SGSI).
e. Trata-se de um glossário completo com termos técnicos fundamentais para o entendimento da norma.
Feedback
A resposta correta é: Trata-se da descrição de controles com os mesmos nomes dos controles da norma ISO 27002..
Questão 8
Correto
Remover rótulo
Texto da questão
De forma a reunir diversas normas de segurança da informação, a ISO criou a série 27000. As duas principais normas desta família, e mais amplamente utilizadas, são as normas:
Escolha uma:
a. ISO 27001 e ISO 27002
Tema: Introdução às normas e padrões de segurança da informação, opção (E). A norma ISO 27001 é a principal norma que uma organização deve utilizar como base para obter a certificação empresarial em gestão da segurança da informação sendo a única norma internacional que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI) e a ISO 27002 é um conjunto completo de controles que auxiliam a aplicação do SGSI. Fonte: Cap 2, pag. 2
b. ISO 27009 e ISO 27013
c. ISO 27007 e ISO 27009
d. ISO 27001 e ISO 27009
e. ISO 27009 e ISO 27017
Feedback
A resposta correta é: ISO 27001 e ISO 27002.
Questão 9
Correto
Marcar questão
Texto da questão
Quanto à titularidade das informações em um ambiente corporativo, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente:
Dentro do ambiente corporativo, a empresa detém os direitos sobre todos os dados e informações armazenados nos seus ambientes computacionais.
Se o empregado for previamente avisado que o e-mail da empresa deve ser usado apenaspara fins profissionais, a empresa poderá monitorar o conteúdo sem ferir as leis e normas vigentes.
Independente de aviso prévio, a empresa jamais poderá monitorar o correio eletrônico de um funcionário, podendo a mesma responder ação judicial na Justiça do Trabalho.
Escolha uma:
a. F,F,V
b. F,V,F
c. V,V,F
Tema: Titularidade das informações, opção (B). A alternativas I e II são verdadeiras. A alternativa III é falsa pois é direito da empresa monitorar o correio eletrônico de um funcionário, visto que à ela pertence as informações armazenadas em seus ambientes computacionais, devendo a empresa avisar previamente e regular o uso do email corporativo. Fonte: Cap 3, pag. 2
d. V,F,V
e. V,V,V
Feedback
A resposta correta é: V,V,F.
Questão 10
Correto
Marcar questão
Texto da questão
Quanto à segurança em datacenter, é correto afirmar que:
Escolha uma:
a. A instalação de um firewall é suficiente para garantia de segurança em datacenter.
b. Não é necessário o investimento maciço em segurança de datacenter, visto que as aplicações desenvolvidas atualmente possuem mecanismos de proteção suficientes para garantia da segurança da informação.
c. A segurança em datacenter é regida pela norma BS7799.
d. Tornou-se obsoleto, visto que o armazenamento em nuvem substituiu a necessidade de uso de datacenter.
e. Possui quatro requisitos de segurança básicos, sendo eles: controle de acesso, manutenção periódica, prostração contra danos e refrigeração do ambiente.
Segurança em datacenter, opção (C)Os requisitos básicos de segurança devem ser seguidos para garantia da segurança das informações que os datacenters armazenam. Fonte: Cap 3, pag. 3,4
Feedback
A resposta correta é: Possui quatro requisitos de segurança básicos, sendo eles: controle de acesso, manutenção periódica, prostração contra danos e refrigeração do ambiente..
Terminar revisão
Quanto à classificação dos ativos da informação, assinale a alternativa que apresenta somente ativos da informação que pertencem ao tipo físico de natureza do ativo:
Escolha uma:
a. Equipamentos de comunicação, sistemas operacionais e aplicativos.
b. Mídias magnéticas, impressoras e desktops.
Os ativos da informação são a própria informação somada a qualquer componente que a sustenta ou se utiliza dela. Este componente pode ser humano, tecnológico, hardware, software, entre outros. O grupo de ativos cuja natureza é física engloba somente objetos físicos que sustentam a informação. Fonte: Cap 1, pag. 7,8
c. Contratos, empregados e sistemas operacionais.
d. Empregados, ferramentas de desenvolvimento, planos de continuidade.
e. Sistemas operacionais, servidores, desktops e notebooks.
Feedback
A resposta correta é: Mídias magnéticas, impressoras e desktops..
Questão 2
Correto
Remover rótulo
Texto da questão
A confidencialidade é um dos pilares básicos da Segurança da Informação. Assinale a alternativa que corresponde ao seu conceito:
Escolha uma:
a. É a propriedade de que a informação deve estar disponível sempre que alguém autorizado, no exercício de suas funções, necessitar dela.
b. É a capacidade de provar que um usuário foi responsável por determinada ação.
c. É o conceito de que determinadas informações só podem ser acessadas por quem é de direito conhecê-las.
Tema: Pilares de segurança da informação, opção (E) A confidencialidade refere-se à proteção da informação, no sentido de que somente quem é autorizado a acessá-la deve fazê-lo. Fonte: Cap 1, pag. 4
d. É a propriedade que garante que a informação está de acordo com a legislação pertinente.
e. É a garantia de que a informação armazenada é verdadeira e não está corrompida.
Feedback
A resposta correta é: É o conceito de que determinadas informações só podem ser acessadas por quem é de direito conhecê-las..
Questão 3
Incorreto
Remover rótulo
Texto da questão
Um dos conceitos fundamentais de segurança da informação está relacionado ao nível de abstração, ou seja, o aumento da capacidade de subtrair detalhes, de modo que possamos visualizar algo de forma mais concisa. Assinale a alternativa que apresenta a ordem correta, do menor nível de abstração até o maior nível:
Escolha uma:
a. Informação, conhecimento, dados.
b. Conhecimento, informação, dados.
c. Informação, dados, conhecimento.
d. Dados, informaçao, conhecimento.
Conceitos básicos de segurança da informação, opção (C) À medida que o nível de abstração aumenta, é gerado valor agregado sobre os dados brutos, transformando-se em informação, e posteriormente em conhecimento. Fonte: Cap 1, pag. 1,2
e. Dados, informação, conhecimento.
Feedback
A resposta correta é: Dados, informação, conhecimento..
Questão 4
Correto
Remover rótulo
Texto da questão
O desenvolvimento de uma política de segurança da informação é realizado em quatro etapas principais. Assinale a alternativa que corresponde à fase de levantamento de informações:
Escolha uma:
a. Nesta fase serão obtidas informações iniciais sobre os ambientes de negócios, bem como o entendimento das necessidades e uso dos recursos tecnológicos nos processos da instituição.
A primeira fase para o desenvolvimento e implementação das políticas, normas e procedimentos de segurança da informação em uma organização é a fase de levantamento de informações. Não há como prosseguir para as outras fases sem o entendimento completo sobre o ambiente, regras de negócio e processos de uma organização. Fonte: Cap 1, pag. 11
b. Fase que envolve aspectos como a classificação das informações, atribuição de regras e responsabilidades e, descrição de procedimentos que envolvem a TI como um todo.
c. É a efetiva implantação das políticas, normas e procedimentos através de preparação de material promocional, divulgação constante, conscientização das responsabilidades, realização de palestras de modo que todo o público-alvo possa compreender e ser convencido a segui-las.
d. É a fase de mudança de cultura que inclui comportamentos que comprometem a segurança da informação.
e. É nesta fase que serão formalizados os procedimentos junto à alta administração.
Feedback
A resposta correta é: Nesta fase serão obtidas informações iniciais sobre os ambientes de negócios, bem como o entendimento das necessidades e uso dos recursos tecnológicos nos processos da instituição..
Questão 5
Correto
Marcar questão
Texto da questão
Um dos cinco princípios do COBIT é atender as necessidades das partes interessadas. Assinale a alternativa que corresponde ao conceito de partes interessadas, ou stakeholders:
Escolha uma:
a. São os gestores executivos de uma empresa.
b. Grupo responsável pela governança e o gerenciamento de informações de uma organização.
c. Pessoas que ajudam a alcançar os objetivos da empresa.
d. Pessoas ou grupos que possuem investimento ou interesse no negócio.
Tema: Princípios do COBIT, opção (A). O termo inglês stakeholders é muito utilizado no COBIT e outras normas, no sentido original da palavra stake significa interesse ou participação, e holder significa aquele que possui. Podem ser pessoas ou organizações afetadas diretamente pelos projetos e processos de uma empresa. Fonte: Cap 2, pag. 13
e. Pessoas que devem colaborar e trabalhar em conjunto a fim de garantir que a TI esteja inclusa na abordagem de governança e gestão.
Feedback
A resposta correta é: Pessoas ou grupos que possuem investimento ou interesse no negócio..
Questão 6
Correto
Marcar questão
Texto da questão
Um dos tópicos da norma NBR ISO/IEC 27001:2013 é o tópico de Avaliação de Desempenho. Assinale a alternativa que descreve corretamente este tópico:
Escolha uma:
a. Referências indispensável para a aplicação da norma.
b. Glossário completo com termos técnicos fundamentais.
c. Descreve os objetivos gerais e a aplicação da norma.
d. Etapas de monitoramento, medição e análise bem como auditoria interna e análise crítica por parte da alta administração.
Tema: Norma NBR ISO/IEC 27001:2013, opção (C). A avaliação de desempenho, também conhecida como avaliação de performance é uma das últimasetapas na aplicação da norma ISO 27001, importante pelo seu caráter crítico da aplicabilidade da norma. Fonte: Cap 2, pag. 8
e. Incentiva a melhoria contínua através de constantes ações corretivas.
Feedback
A resposta correta é: Etapas de monitoramento, medição e análise bem como auditoria interna e análise crítica por parte da alta administração..
Questão 7
Correto
Marcar questão
Texto da questão
Sobre Sistema de Gestão de Segurança da Informação (SGSI), é INCORRETO afirmar:
Escolha uma:
a. Se a organização tem uma necessidade simples, isto requer uma solução simples de SGSI.
b. É o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como são reduzidos os riscos para a segurança da informação.
c. A implantação de um SGSI pode contribuir muito para a garantia da reputação de uma organização.
d. Um SGSI é de fundamental importância para empresas do setor privado, porém não se aplica ao setor público.
Tema: Norma NBR/ISO 27001:2013, opção (E). A aplicação do SGSI é de fundamental importância tanto para o setor público como para o setor privado. Fonte: Cap 2, pag. 3,4
e. Na prática, quando uma instituição implanta a norma ISO 27001 acaba por constituir um SGSI.
Feedback
A resposta correta é: Um SGSI é de fundamental importância para empresas do setor privado, porém não se aplica ao setor público..
Questão 8
Correto
Remover rótulo
Texto da questão
Um dos tópicos da norma NBR ISO/IEC 27002:2013 é o tópico de Aquisição, Desenvolvimento e Manutenção de Sistemas. Assinale a alternativa que descreve corretamente este tópico:
Escolha uma:
a. Evidencia que é necessário garantir que a segurança da informação é parte integrante de todo o ciclo de vida dos sistemas de informação.
Tema: Norma NBR ISO/IEC 27002:2013, opção (D). Os controles descritos no tópico de aquisição, desenvolvimento e manutenção de sistemas deixam claro que a integração com o ciclo de vida completo de sistemas é parte fundamental da aplicação da norma em uma organização. Fonte: Cap 2, pag. 10
b. O acesso físico às instalações e à infraestrutura de apoio deve ser monitorizado e restrito.
c. Engloba a identificação dos ativos da organização e define as responsabilidades apropriadas para a proteção dos mesmos.
d. Nesta seção são abordados aspectos de orientação para assegurar o uso efetivo e adequado da criptografia.
e. Engloba a identificação dos ativos da organização e define as responsabilidades apropriadas para a proteção dos mesmos.
Feedback
A resposta correta é: Evidencia que é necessário garantir que a segurança da informação é parte integrante de todo o ciclo de vida dos sistemas de informação..
Questão 9
Correto
Marcar questão
Texto da questão
Quanto ao ITIL, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente:
Esta biblioteca teve início nos anos 1990, quando o governo suíço percebeu a necessidade de melhorar os seus serviços de TI.
É o padrão atual da indústria para implantar o gerenciamento de serviços de TI.
A ITIL organiza os processos para o gerenciamento dos serviços de TI por meio de um ciclo de vida de serviços.
A ITIL é descrita em três componentes básicos: núcleo do ITIL, guias complementares e guias de gestão e governança de TI.
Escolha uma:
a. F,V,F,V
b. V,V,V,F
c. V,V,F,F
d. V,F,V,F
e. F,V,V,F
Introdução ao ITIL, opção (C). A alternativas II e III são verdadeiras. A alternativa I é falsa pois foi o governo britânico que iniciou tal padronização. A alternativa IV é falsa pois a ITIL é descrita em dois componentes básicos: núcleo do ITIL e guias complementares. Fonte: Cap 2, pag. 16
Feedback
A resposta correta é: F,V,V,F.
Questão 10
Correto
Marcar questão
Texto da questão
Sobre a utilização de recursos de TI em uma organização, assinale a alternativa incorreta:
Escolha uma:
a. Cabe à equipe de TI disponibilizar aos colaboradores (funcionários ou terceiros) somente os recursos tecnológicos que irão auxiliá-los no desempenho de suas funções e execução de seus trabalhos.
b. Os colaboradores da instituição devem ter ciência de que o uso dos recursos tecnológicos deve ser feito apenas para atividades diretamente relacionadas aos negócios da organização.
c. É de fundamental importância que a organização possua uma política de utilização dos recursos de TI bem definida.
d. A maioria dos incidentes de segurança da informação ocorrem no ambiente interno das organizações.
e. Os usuários finais devem ter acesso privilegiado para instalação de softwares, visto que tal prática não representa risco significativo à segurança da informação.
Tema: Utilização dos recursos de TI, opção (D). Os usuários finais não devem ter acesso privilegiado para instalação de aplicativos em suas estações de trabalho, visto que tal prática por representar riscos, como a instalação de malwares, pois o usuário final não possui, via de regra, conhecimento técnico suficiente para evitar tais incidentes. Fonte: Cap 3, pag. 1
Feedback
A resposta correta é: Os usuários finais devem ter acesso privilegiado para instalação de softwares, visto que tal prática não representa risco significativo à segurança da informação..
Terminar revisão
Sobre política de backup é correto afirmar:
Escolha uma:
a. A guarda de backup em local físico diferente da sede de uma organização não é recomendada, visto a dificuldade de recuperação em caso de desastre.
b. Backup em discos são mais seguros do que backup em fitas.
c. Somente dados críticos necessitam de backup.
d. Backups completos devem ser realizados diariamente.
e. De um modo geral as políticas de backup consistem em capturar um backup completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou diferenciais.
De um modo geral as políticas de backup consistem em capturar um backup completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou diferenciais.
Feedback
A resposta correta é: De um modo geral as políticas de backup consistem em capturar um backup completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou diferenciais..
Questão 2
Correto
Marcar questão
Texto da questão
Sobre tipos de backup é correto afirmar:
Escolha uma:
a. Backup completo é a soma de um backup diferencial com um backup incremental.
b. Os backups incrementais consistem em backups de todos os dados que foram alterados desde o último backup completo.
c. Os backups diferenciais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup.
d. Os backups diferenciais são mais seguros que os backups incrementais.
e. Os backups incrementais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup.
Tema: Política de backup e restore.A estratégia de backups diferenciais ou incrementais deve ser adotada de acordo com a disponibilidade de recursos e necessidades da organização. Backups diferenciais são cópias de todos os dados que foram alterados desde o último backup completo, diferentemente do incremental onde são copiados apenas os dados que foram alterados desde a última tarefa de backup. Fonte: Cap 3, pag. 18,19
Feedback
A resposta correta é: Os backups incrementais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup..
Questão 3
Correto
Marcar questão
Texto da questão
Quanto às categorias de malwares, analise as sentenças abaixo:
I. Vírus é um programa que se autorreplica após alguma ação do usuário.
II. Worm é um programa que se autorreplica sem a necessidade de ação do usuário.
III. Ransomware é um malware menos perigoso, pois sua função é exibir publicidade ao usuário.
IV. Spyware é um malware que monitora o equipamento do usuário e efetua coleta de informações do mesmo.
 Está correto o que consta em:
Escolha uma:
a. I e IV, apenas.
b. I,II e IV, apenas.
Gabarito comentado:A alternativas I, II e IV são verdadeiras. A alternativa III é falsa pois o ransomware é uma categoria de malware perigosa, que efetua o sequestro dos dados do usuário, criptografando os mesmos, e exigindo valor monetário como resgate.
Fonte: Cap 4, pag. 1,2
c. I e II, apenas.
d. IV, apenas.
e. I,II,III,IV.
Feedback
Sua resposta está correta.
A resposta correta é: I,II e IV, apenas..
Questão 4
Correto
Marcar questão
Texto da questão
Quanto aos softwares antivírus, é correto afirmar:
Escolha uma:
a. É um tipo de malware.
b. Os vírus são criados pelas próprias empresa de antivírus, que visam o lucro pela venda de suas ferramentas.
c. Soluções gratuitas não oferecem proteção contra malwares.
d. Uma assinatura de vírus é baseada em um segmento único de código-fonte dentro do malware.
Tema: Proteção contra software malicioso.O software antivírus reconhece o programa como vírus ao efetuar a comparação entre o código-fonte do programa em execução com a sua base de dados de assinaturas de vírus. Fonte: Cap 4, pag. 3
e. Funciona somente com detecção de assinatura de malware estática.
Feedback
A resposta correta é: Uma assinatura de vírus é baseada em um segmento único de código-fonte dentro do malware..
Questão 5
Correto
Marcar questão
Texto da questão
Quanto a certificados digitais, NÃO é correto afirmar:
Escolha uma:
a. Existem autoridades certificadores abaixo do ICP-Brasil, como por exemplo Serpro, Certsign, Serasa Experian.
b. O certificado é assinado por alguém em quem o proprietário deposita sua confiança, ou seja, uma autoridade certificadora (Certification Authority - CA), funcionando como uma espécie de “cartório virtual”.
c. O certificado digital contém, além da chave pública, informações sobre seu proprietário, como nome, endereço e outros dados pessoais.
d. O certificado digital só pode ser emitido por uma Autoridade Certificadora Raiz (AC-Raiz).
Tema: Certificados digitais.Os certificados digitais são emitidos pelas Autoridades Certificadoras (AC) e Autoridades de Registro (AR). Fonte: Cap 4, pag. 20,21
e. No Brasil, o órgão da autoridade certificadora raiz é o ICP-Brasil.
Feedback
A resposta correta é: O certificado digital só pode ser emitido por uma Autoridade Certificadora Raiz (AC-Raiz)..
Questão 6
Correto
Marcar questão
Texto da questão
Quanto ao ciclo de vida da Engenharia Social, é correto afirmar:
Escolha uma:
a. A etapa de relação de confiança é a fase na qual o atacante passa a desenvolver um relacionamento com o alvo, uma vez que estes possíveis alvos foram enumerados.
Tema: Engenharia Social.E etapa de relação de confiança é a fase imediatamente após a fase de levantamento de informações (coleta), onde o atacante procura ganhar a confiança da vítima. Fonte: Cap 5, pag. 2,3
b. A coleta é uma fase pós-ataque, onde o engenheiro social utiliza a informação obtida para fins ilícitos.
c. A etapa de manipulação psicológica é o primeiro passo em um ataque de engenharia social.
d. A etapa de manipulação psicológica é a etapa de levantamento de informações sobre o(s) alvo(s) e o ambiente circunvizinho a este.
e. Não existe ciclo de vida de um ataque de engenharia social, visto que cada ataque é único.
Feedback
A resposta correta é: A etapa de relação de confiança é a fase na qual o atacante passa a desenvolver um relacionamento com o alvo, uma vez que estes possíveis alvos foram enumerados..
Questão 7
Correto
Marcar questão
Texto da questão
Um dos profissionais especialistas em segurança da informação tem um destaque especial, por efetuar o papel de coordenação da equipe de segurança, é o denominado Security Officer, ou agente de segurança. As sentenças abaixo destacam as qualificações de um Security Officer, EXCETO:
Escolha uma:
a. Familiaridade com termos e conceitos da área.
b. Excelente capacidade de comunicação.
c. Dominar técnicas de engenharia social.
Tema: Papel dos profissionais da segurança da informação.A alternativa é incorreta pois não faz parte dos requisitos básicos deste profissional o domínio de técnicas de engenharia social. Fonte: Cap 5, pag. 10,11,12
d. Certificações e especializações na área de segurança da informação.
e. Capacidade de conciliar os interesses de segurança com os interesses do negócio.
Feedback
A resposta correta é: Dominar técnicas de engenharia social..
Questão 8
Correto
Marcar questão
Texto da questão
Sobre gerenciamento de riscos em segurança da informação, é correto afirmar:
Escolha uma:
a. É o processo que habilita os administradores a identificar, priorizar e avaliar os custos operacionais de implantação de medidas de proteção aos sistemas de informação, bem como os dados que dão suporte à missão de uma organização.
Tema: Introdução ao gerenciamento de riscos em segurança da informação.As empresas têm percebido que a existência de riscos, sem o devido tratamento são prejudiciais aos resultados, pois sua ocorrência pode afetar as operações do negócio, por isto a importância do gerenciamento de riscos em uma organização. Fonte: Cap 6, pag. 1
b. É um conjunto de políticas, procedimentos e vários outros controles que definem as regras de segurança da informação em uma organização.
c. É o padrão atual da indústria para implantar o gerenciamento de serviços de TI.
d. É baseado em controles, para servir como referência a uma organização que deseja ter uma governança de TI mais controlada.
e. É um sistema de apoio à decisão para o negócio de uma organização.
Feedback
A resposta correta é: É o processo que habilita os administradores a identificar, priorizar e avaliar os custos operacionais de implantação de medidas de proteção aos sistemas de informação, bem como os dados que dão suporte à missão de uma organização..
Questão 9
Correto
Marcar questão
Texto da questão
Sobre a integração do gerenciamento de riscos com o ciclo de vida de desenvolvimento de sistemas (CVDS), no contexto da segurança da informação, é correto afirmar:
Escolha uma:
a. A metodologia de gerenciamento de riscos não pode ser integrada ao CVDS.
b. Na fase 2 do CVDS (desenvolvimento ou aquisição), as atividades de gerenciamento de risco são executadas para componentes do sistema que serão descartados ou substituídos.
c. O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa para cada fase principal do CVDS.
Tema: Gerenciamento de riscos em segurança da informação aplicado ao CVDS.Um processo iterativo é um processo que se repete diversas vezes para se chegar a um resultado parcial, que pode ser utilizado no próximo ciclo. Isto pode ser aplicado ao gerenciamento de riscos para cada ciclo do CVDS. Fonte: Cap 6, pag. 2,3
d. Na fase 4 do CVDS (operação ou manutenção), os riscos identificados são usados para suportar o desenvolvimento dos requisitos do sistema, incluindo os requisitos de segurança, e conceitos de segurança de operações.
e. O gerenciamento de riscos é um processo que deve ser realizado de forma única para cada fase principal do CVDS.
Feedback
A resposta correta é: O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa para cada fase principal do CVDS..
Questão 10
Correto
Marcar questão
Texto da questão
Quanto ao gerenciamento de riscos em segurança da informação, a etapa de identificação de vulnerabilidades apresenta os seguintes aspectos, EXCETO:
Escolha uma:
a. Um exemplo de vulnerabilidade que pode ser citado é o fato dos usuários demitidos não serem bloqueados nos sistemas de informação.
b. Existem testes que podem auxiliar nesta tarefa, como por exemplo testes de invasão ativos (pentest).
c. Nesta etapa são identificadas as vulnerabilidades do sistema que podem ser exploradas pelas potenciais fontes de ameaças.
d. Orienta quanto aos procedimentos a fim de evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de quaisquer requisitos de segurança.
Tema: Avaliação de riscos.A sentença descrita na opção não apresenta relação com a etapa deidentificação de vulnerabilidades. Fonte: Cap 6, pag. 7,8
e. Os métodos proativos, que empregam testes de segurança do sistema, podem ser usados para identificar eficientemente as vulnerabilidades.
Feedback
A resposta correta é: Orienta quanto aos procedimentos a fim de evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de quaisquer requisitos de segurança..
Terminar revisão
Quanto à segurança no tratamento de mídias, é correto afirmar:
Escolha uma:
a. Sempre que uma mídia de armazenamento seja descartada, deve-se considerar o uso de procedimentos para assegurar a eliminação adequada da informação.
Tema: Segurança no tratamento de mídias.É preciso considerar que as informações armazenadas em mídias podem conter conteúdo confidencial, portanto não devem ser descartadas sem o devido cuidado com a segurança da informação. Fonte: Cap 3, pag. 24,25
b. Quanto menor o nível de classificação da informação, maior deverá ser a garantia de que as informações não podem ser recuperadas após a eliminação.
c. Não existem normas que tratam do descarte de mídias de forma segura.
d. Uma das boas práticas, no caso de mídias ópticas, é a utilização de ferramentas de formatação de baixo nível.
e. O descarte correto de mídias é minuciosamente tratado na norma ISO 31000.
Feedback
A resposta correta é: Sempre que uma mídia de armazenamento seja descartada, deve-se considerar o uso de procedimentos para assegurar a eliminação adequada da informação..
Questão 2
Correto
Marcar questão
Texto da questão
Sobre autenticação de fator múltiplo, analise as sentenças abaixo:
I O fator de conhecimento inclui algo que o usuário sabe, como por exemplo, uma senha.
II O fator de herança inclui algo que o usuário possui, como um token.
III O PIN é um fator de posse.
IV A biometria é um fator de herança.
Está correto o que consta em:
Escolha uma:
a. I, somente.
b. I e IV, somente.
Tema: Política de senhas. A alternativas I e IV são verdadeiras. A alternativa II é falsa pois o token é um fator de posse. A alternativa III é falsa pois o PIN é um fator de conhecimento. Fonte: Cap 3, pag. 16
c. I, III e IV, somente.
d. III e IV, somente.
e. IV, somente.
Feedback
A resposta correta é: I e IV, somente..
Questão 3
Incorreto
Marcar questão
Texto da questão
Quanto ao desenvolvimento de aplicações seguras, dentro de um ambiente seguro, podemos elencar algumas boas práticas de programação. Assinale a alternativa que contém algumas destas boas práticas:
Escolha uma:
a. Operar com menos privilégio, utilizar concatenações de strings para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca.
b. Maximizar o uso de strings inseguras e funções de buffer, operar com menos privilégio, evitar concatenações de strings para cláusulas de SQL dinâmicas.
c. Operar com menos privilégio, minimizar o uso de strings inseguras e funções de buffer, tratar entrada e saída de dados.
d. Utilizar criptografia fraca, operar com menos privilégio, tratar entrada e saída de dados.
e. Utilizar registros de acesso (log) e rastreamento, utilizar concatenações de strings para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca.
Feedback
A resposta correta é: Operar com menos privilégio, minimizar o uso de strings inseguras e funções de buffer, tratar entrada e saída de dados..
Questão 4
Correto
Marcar questão
Texto da questão
Quanto a conceitos complementares de criptografia, selecione a alternativa que descreve um ataque de força bruta:
Escolha uma:
a. É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e caracteres especiais.
b. É um ataque onde são utilizadas senhas armazenadas em um dicionário.
c. Consiste de verificação sistemática de todas as possíveis chaves e senhas até que as corretas sejam encontradas. No pior dos casos, isto envolveria percorrer todo o espaço de busca.
Tema: Criptografia.O ataque de força bruta também é conhecido como busca exaustiva de chaves e pode, em teoria, ser utilizado contra quaisquer dados criptografados. Fonte: Cap 4, pag. 14
d. É um ataque que consiste na tentativa de reverter um algoritmo de chave simétrico.
e. É um ataque que necessita alto poder de processamento, não sendo possível realiza-lo com um computador doméstico.
Feedback
A resposta correta é: Consiste de verificação sistemática de todas as possíveis chaves e senhas até que as corretas sejam encontradas. No pior dos casos, isto envolveria percorrer todo o espaço de busca..
Questão 5
Incorreto
Marcar questão
Texto da questão
Sobre forense computacional, é correto afirmar que:
Escolha uma:
a. A área de forense computacional não possui ligação com crimes cibernéticos, sendo restrita somente a incidentes de segurança que não envolvam quebra de leis.
b. Não é possível recuperar informações a partir de fragmentos de arquivos.
c. A área de forense computacional consiste no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo.
d. Quando ocorre um incidente de segurança em uma empresa, não é necessário observar procedimentos de preservação de evidências.
e. A aplicação de metodologias forenses pode ser aplicada por qualquer usuário leigo, não necessitando de peritos especialistas nesta área.
Feedback
A resposta correta é: A área de forense computacional consiste no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo..
Questão 6
Correto
Marcar questão
Texto da questão
Quanto ao processo de assinatura digital, analise as sentenças abaixo:
I-As assinaturas digitais usam um formato padrão aceito mundialmente, denominado Public Key Infrastructure (PKI).
II-A PKI é um sistema criptográfico simétrico.
III-Para assinar digitalmente documentos, um usuário precisa obter um par de chaves: chave pública e chave privada, através de um certificado digital.
IV-O receptor do documento utiliza a chave pública do emissor para descriptografar a assinatura. Se a chave pública não puder descriptografar a assinatura (através da comparação dos hashes), isso significa que a assinatura não poderá ser validada.
Está correto o que consta em:
Escolha uma:
a. I,II e III, apenas.
b. III, apenas.
c. I,II,III,IV.
d. I, III e IV, apenas.
Tema: Assinatura Digital.A alternativas I, III e IV são verdadeiras. A alternativa II é falsa pois a PKI é um sistema criptográfico assimétrico, que utiliza o par de chaves (pública e privada). Fonte: Cap 4, pag. 21,22,23.
e. II e IV, apenas.
Feedback
A resposta correta é: I, III e IV, apenas..
Questão 7
Correto
Marcar questão
Texto da questão
As sentenças abaixo apresentam estratégias de defesa contra engenharia social, EXCETO:
Escolha uma:
a. Exigir que qualquer prestador de serviço seja cadastrado e identificado apropriadamente.
b. Estabelecer um padrão para que as senhas nunca sejam pronunciadas por telefone.
c. Implementar tecnologias de identificação de chamadas de/ou para o suporte.
d. Investir em software específico disponível para proteger uma empresa contra a engenharia social.
Tema: Engenharia Social.A defesa contra a engenharia social é alcançada com a implementação de boas práticas de segurança que auxiliem na proteção da empresa, não existindo um software específico para tal ação. Fonte: Cap 5, pag. 7,8
e. Investir em equipamento triturador.
Feedback
A resposta correta é: Investir em software específico disponível para proteger uma empresa contra a engenharia social..
Questão 8
Correto
Marcar questão
Texto da questão
Um dos profissionais especialistas em segurança da informação tem um destaque especial, por efetuar o papel de coordenação da equipe de segurança, é o denominado Security Officer, ou agente de segurança. As sentenças abaixo destacam as qualificações de um Security Officer,EXCETO:
Escolha uma:
a. Certificações e especializações na área de segurança da informação.
b. Familiaridade com termos e conceitos da área.
c. Dominar técnicas de engenharia social.
Tema: Papel dos profissionais da segurança da informação.A alternativa é incorreta pois não faz parte dos requisitos básicos deste profissional o domínio de técnicas de engenharia social. Fonte: Cap 5, pag. 10,11,12
d. Excelente capacidade de comunicação.
e. Capacidade de conciliar os interesses de segurança com os interesses do negócio.
Feedback
A resposta correta é: Dominar técnicas de engenharia social..
Questão 9
Correto
Marcar questão
Texto da questão
Quanto a estratégias para mitigação de riscos, no contexto de gerenciamento de riscos em segurança da informação, é correto afirmar:
Escolha uma:
a. Se o projeto do sistema é vulnerável e não explorável, o risco é existente.
b. Se o projeto do sistema é vulnerável e explorável, o risco é inexistente.
c. Se o projeto do sistema não é vulnerável, o risco é existente.
d. Se o custo do ataque é menor que o ganho, então o risco não é aceitável.
Tema: Estratégia de mitigação de riscos, Quando o custo do ataque é menor do que o ganho o risco é aceitável pois um atacante terá baixo interesse em prosseguir com o ataque. Fonte: Cap 6, pag. 16
e. Se o custo do ataque é maior que o ganho, então o risco não é aceitável.
Feedback
A resposta correta é: Se o custo do ataque é menor que o ganho, então o risco não é aceitável..
Questão 10
Correto
Marcar questão
Texto da questão
Sobre a integração do gerenciamento de riscos com o ciclo de vida de desenvolvimento de sistemas (CVDS), no contexto da segurança da informação, é correto afirmar:
Escolha uma:
a. Na fase 4 do CVDS (operação ou manutenção), os riscos identificados são usados para suportar o desenvolvimento dos requisitos do sistema, incluindo os requisitos de segurança, e conceitos de segurança de operações.
b. O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa para cada fase principal do CVDS.
Tema: Gerenciamento de riscos em segurança da informação aplicado ao CVDS.Um processo iterativo é um processo que se repete diversas vezes para se chegar a um resultado parcial, que pode ser utilizado no próximo ciclo. Isto pode ser aplicado ao gerenciamento de riscos para cada ciclo do CVDS. Fonte: Cap 6, pag. 2,3
c. Na fase 2 do CVDS (desenvolvimento ou aquisição), as atividades de gerenciamento de risco são executadas para componentes do sistema que serão descartados ou substituídos.
d. O gerenciamento de riscos é um processo que deve ser realizado de forma única para cada fase principal do CVDS.
e. A metodologia de gerenciamento de riscos não pode ser integrada ao CVDS.
Feedback
A resposta correta é: O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa para cada fase principal do CVDS..
Terminar revisão