Exercícios

Prévia do material em texto

1 -Com relação as ameaças aos sistema de informação, assinale a opção correta:
	
	
	
	Spyware é um programa que permite o controle remoto do agente invasor e é capaz de se propagar automaticamente, pois explora vulnerabilidades existentes em programas instalados em computadores.
	
	
	Backdoor é um programa que permite o acesso de uma máquina a um invasor de computador, pois assegura a acessibilidade a essa máquina em modo remoto, sem utilizar, novamente, os métodos de realização da invasão.
	
	
	Vírus é um programa que monitora as atividades de um sistema e envia informações relativas a essas atividades para terceiros. Um exemplo é o vírus keylogger que é capaz de armazenar os caracteres digitados pelo usuário de um computador.
	
	
	Bot é um programa capaz de se propagar, automaticamente, por rede, pois envia cópias de si mesmo de computador para computador, por meio de execução direta ou por exploração automática das vulnerabilidades existentes em programas instalados em computadores.
	
	
	Worm é um programa ou parte de um programa de computador, usualmente malicioso, que se propaga ao criar cópias de si mesmo e, assim, se torna parte de outros programas e arquivos.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		2.
		Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware?
	
	
	
	Captura de outras senhas usadas em sites de comércio eletrônico;
	
	
	Monitoramento de URLs acessadas enquanto o usuário navega na Internet
	
	
	Alteração da página inicial apresentada no browser do usuário;
	
	
	Captura de senhas bancárias e números de cartões de crédito;
	
	
	Alteração ou destruição de arquivos;
	
	
	
	 
		
	
		3.
		A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual de hackers mas na verdade estas pessoas tem amplo conhecimento de programação e noções de rede e internet, não desenvolvem vulnerabilidades e não tem intenção de roubar informações, estes na verdade são os crackers que invadem sistemas em rede ou computadores para obter vantagens muitas vezes financeiras. Verifique nas sentenças abaixo as que estão corretas em relação a descrição dos potenciais atacantes: I - Wannabes ou script kiddies São aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos. II- Defacers Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou realizam chamadas sem tarifação. III- Pheakres São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web e modificá-las.
	
	
	
	As sentenças II e III estão corretas.
	
	
	Todas as sentenças estão corretas.
	
	
	As sentenças I e III estão corretas.
	
	
	As sentenças I e II estão corretas.
	
	
	Apenas a sentença I está correta.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		4.
		O que são exploits?
	
	
	
	É um programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o worm é um programa completo e não precisa de outro programa para se propagar.
	
	
	Consiste no software de computador que recolhe a informação sobre um usuário do computador e transmite então esta informação a uma entidade externa sem o conhecimento ou o consentimento informado do usuário.
	
	
	São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são utilizados por pessoas sem conhecimento da vulnerabilidade.
	
	
	São programas utilizados para descobrir as senhas dos usuários. Estes programas geralmente são muito lentos, pois usam enormes dicionários com o máximo de combinações possíveis de senhas e ficam testando uma a uma até achar a senha armazenada no sistema
	
	
	Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar por outra máquina, utilizando a técnica de Spoofing. Quando estas solicitações começarem a ser respondidas, o sistema alvo será inundado (flood) pelas respostas do servidor.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		5.
		Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código malicioso ou Malware ?
	
	
	
	active-x
	
	
	rootkit
	
	
	worm
	
	
	trojan horse
	
	
	keyloggers
	
	
	
	 
		
	
		6.
		As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua intencionalidade:
	
	
	
	Intencional, proposital e natural
	
	
	Natural, presencial e remota
	
	
	Voluntária, involuntária e intencional
	
	
	Intencional, presencial e remota
	
	
	Natural, voluntária e involuntária
	
	
	 
		
	
		7.
		Desde o aparecimento do primeiro spam, em 1994, a prática de enviar e-mails não solicitados tem sido aplicada com vários objetivos distintos e também utilizando diferentes aplicativos e meios de propagação na rede. Os tipos de spam identificados até o momento são: correntes, boatos, lendas urbanas, propagandas, ameaças, pornografia, códigos maliciosos, fraudes e golpes.
É muito importante que se saiba como identificar os spams, para poder detectá-los mais facilmente e agir adequadamente. Dentre as afirmativas abaixo marque aquelas que podemos assinalar como sendo as principais características dos spams:
I. Apresentam cabeçalho suspeito. 
II. Apresentam no campo Assunto palavras com grafia errada ou suspeita. 
III. Apresentam no campo Assunto textos alarmantes ou vagos. 
IV. Oferecem opção de remoção da lista de divulgação. 
V. Prometem que serão enviados "uma única vez. 
VI. Baseiam-se em leis e regulamentações inexistentes.
Estão corretas:
	
	
	
	Todas as afirmativas estão corretas
	
	
	Nenhuma afirmativa está correta
	
	
	II, IV e VI
	
	
	I, III e V
	
	
	I, II, III, V e VI
	
	Gabarito
Coment.
	
	
	
	 
		
	
		8.
		Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo teclado do usuário e é enviado para o invasor ?
	
	
	
	Keylogger
	
	
	Defacement
	
	
	Phishing
	
	
	Backdoor
	
	
	Spyware
	
	 
		
	
		1.
		Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias:
	
	
	
	Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc.
	
	
	Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc.
	
	
	Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações.
	
	
	Erros propositais de instalação ou de configuração possibilitando acessos indevidos.
	
	
	Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões.
	
	
	
	 
		
	
		2.
		Pedro construiu um software malicioso capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Neste caso podemos afirmar que Pedro construiu um:
	
	
	
	Worm
	
	
	Trojan
	
	
	Keylogger
	
	
	Screenlogger
	
	
	Backdoor
	
	Gabarito
Coment.
	
	
	
	 
		
	
		3.
		Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador pode ser descrito como sendo um:
	
	
	
	vírus
	
	
	exploit
	
	
	spyware
	
	
	backdoor
	
	
	keylogger
	
	
	
	 
		
	
		4.
		As ameaças são agentes ou condiçõesque causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade?
	
	
	
	Naturais, Voluntarias e Vulneráveis.
	
	
	Naturais, Involuntárias e Voluntarias.
	
	
	Ocasionais, Involuntárias e Obrigatórias.
	
	
	Naturais, Voluntarias e Obrigatórias.
	
	
	Naturais, Involuntárias e Obrigatórias.
	
	
	
	 
		
	
		5.
		Analise as seguintes afirmativas sobre ameaças à Segurança da Informação: 
I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa desejado pelo usuário, com o objetivo de obter dados não autorizados do usuário. 
II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se propagar de um computador para outro. 
III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de remetentes falsos. 
Estão CORRETAS as afirmativas:
	
	
	
	I, II e III.
	
	
	II apenas
	
	
	II e III, apenas.
	
	
	I e III, apenas.
	
	
	I e II, apenas.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		6.
		Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II .
Coluna I 
1. Spyware 
2. Adware 
3. Engenharia Social 
4. Backdoor 
5. Phishing
Coluna II 
( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. 
( ) Software que insere propagandas em outros programas. 
( ) Brecha inserida pelo próprio programador de um sistema para uma invasão.
( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. 
( ) Programa espião. 
A sequencia correta é:
	
	
	
	3, 1, 4, 5, 2.
	
	
	3, 1, 5, 2, 4.
	
	
	5,1,4,3,2.
	
	
	5, 2, 4, 3, 1.
	
	
	3, 2, 4, 5, 1.
	
	
	
	 
		
	
		7.
		Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um:
	
	
	
	vírus
	
	
	cavalo de tróia (trojan horse)
	
	
	active-x
	
	
	worm
	
	
	exploit
	
	
	 
		
	
		8.
		Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso?
	
	
	
	Passivo
	
	
	Secreto
	
	
	Forte
	
	
	Fraco
	
	
	Ativo
	
		1.
		As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classificadas como:
	
	
	
	Globalizadas
	
	
	Tecnológicas.
	
	
	Insconsequentes
	
	
	Voluntárias
	
	
	Destrutivas
	
	Gabarito
Coment.
	
	
	
	 
		
	
		2.
		O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito é conhecido como:
	
	
	
	exploit
	
	
	vírus
	
	
	backdoor
	
	
	Spyware
	
	
	Keylogger
	
	
	
	 
		
	
		3.
		Pedro construiu um software malicioso capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Neste caso o programa poderá afetar o desempenho da rede e a utilização do computador. Neste caso podemos afirmar que Pedro construiu um:
	
	
	
	Trojan
	
	
	Keylogger
	
	
	Backdoor
	
	
	Screenlogger
	
	
	Worm
	
	
	
	 
		
	
		4.
		Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça¿. Podemos dizer que é:
	
	
	
	verdadeira
	
	
	parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça.
	
	
	falsa, pois não devemos considerar que diferentes ameaças existem .
	
	
	falsa, pois os impactos são sempre iguais para ameaças diferentes.
	
	
	falsa, pois não depende do ativo afetado.
	
	
	
	 
		
	
		5.
		Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas:
	
	
	
	Métodos Quantitativos
	
	
	Medidas Perceptivas
	
	
	Métodos Detectivos
	
	
	Medidas Preventivas
	
	
	Medidas Corretivas e Reativas
	
	Gabarito
Coment.
	
	
	
	 
		
	
		6.
		As ameaças aproveitam das falhas de segurança da organização, que é considerado como ponto fraco, provocando possíveis danos, perdas e prejuízos aos negócios da empresa. Elas são constantes podendo acontecer a qualquer momento. Portanto é necessário conhecer profundamente qualquer tipo de vulnerabilidades para que não sejam comprometidos os princípios que se refere à segurança da informação. Quanto a sua intencionalidade elas podem ser classificadas como:
	
	
	
	Humanas, Mídias e Comunicação.
	
	
	Físicas, Lógicas e Naturais.
	
	
	Software, Hardware e Firmware.
	
	
	Comunicação, Físicas e Hardware.
	
	
	Naturais, Involuntárias e voluntárias.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		7.
		Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador pode ser descrito como sendo um:
	
	
	
	Adware
	
	
	Active-x
	
	
	Worm
	
	
	Spyware
	
	
	Java Script
	
	Gabarito
Coment.
	
	
	
	 
		
	
		8.
		Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ?
	
	
	
	Secreta e Oculta
	
	
	Conhecida e Externa
	
	
	Secreta e Externa
	
	
	Interna e Oculta
	
	
	Interna e Externa
		1.
		Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de comércio eletrônico.
	
	
	
	Wabbit.
	
	
	Phishing.
	
	
	Hijackers.
	
	
	Exploits.
	
	
	Trojans.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		2.
		Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente segue para realizar um Ataque de Segurança :
	
	
	
	Levantamento, Obtenção, Exploração, Manutenção e Camuflagem
	
	
	Obtenção, Exploração, Levantamento, Manutenção e Camuflagem
	
	
	Levantamento, Exploração, Obtenção, Manutenção e Camuflagem
	
	
	Exploração, Levantamento, Obtenção, Manutenção e Camuflagem
	
	
	Obtenção, Levantamento, Exploração, Manutenção e Camuflagem
	
	
	
	 
		
	
		3.
		Qual o nome do ataque que tem como objetivo desfigurar a página de um site ?
	
	
	
	Defacement
	
	
	Backdoor
	
	
	Worm
	
	
	Spam
	
	
	Disfiguration
	
	
	
	 
		
	
		4.
		Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir posteriormente o acesso à máquina invadida para o atacante ?
	
	
	
	Worm
	
	
	Rootkit
	
	
	Spam
	
	
	Backdoor
	
	
	0Day
	
	
	
	 
		
	
		5.
		Suponha que um hacker esteja planejando um ataque a uma empresa. Inicialmente irá utilizar diversos artifícios e mecanismos para se aproximar da empresa ou rede a ser atacada. Como se chama este primeiro passo do atacante?
	
	
	
	Levantamento das Informações de forma ativa
	
	
	Levantamento das Informações de forma passiva.
	
	
	Explorando informações.
	
	
	Acessando a empresa
	
	
	Engenharia Social
	
	
	
	 
		
	
		6.Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque?
	
	
	
	Camuflagem das Evidências
	
	
	Exploração das Informações
	
	
	Levantamento das Informações
	
	
	Divulgação do Ataque
	
	
	Obtenção de Acesso
	
	
	
	 
		
	
		7.
		Qual o nome do ataque que tem o intuito de enviar uma quantidade em "massa" de e-mails muitas das vezes indesejáveis ?
	
	
	
	Adware
	
	
	Rootkit
	
	
	Spam
	
	
	Spyware
	
	
	Backdoor
	
	Gabarito
Coment.
	
	
	
	 
		
	
		8.
		João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando derrubar à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar?
	
	
	
	Port Scanning
	
	
	Ip Spoofing
	
	
	SYN Flooding
	
	
	Fraggle
	
	
	Fragmentação de pacotes IP
		1.
		Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu objetivo o invasor tentará levantar estas informações através da escuta das portas do protocolo TCP e UDP. Neste caso estamos nos referindo a um ataque do tipo:
	
	
	
	Fraggle
	
	
	Port Scanning
	
	
	Three-way-handshake
	
	
	SYN Flooding
	
	
	Fragmentação de Pacotes IP
	
	
	
	 
		
	
		2.
		Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: O ataque  explora a metodologia de estabelecimento de conexões do protocoloTCP, baseado no three-way-handshake. Desta forma  um grande número de requisições de conexão (pacotes SYN) é enviando, de tal maneira que o servidor não seja capaz de responder a todas elas. A pilha de memória sofre então um overflow e as requisições de conexões de usuários legítimos são, desta forma, desprezadas, prejudicando a disponibilidade do sistema.. Qual seria este ataque:
	
	
	
	Port Scanning.
	
	
	Ip Spoofing.
	
	
	Syn Flooding.
	
	
	Fraggle.
	
	
	Packet Sniffing.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		3.
		Ataques a sistemas de computação são tipos de crimes virtuais que visam, entre outras coisas, obter informações que se encontram em sistemas alheios. Crimes dos quais todos os internautas e empresas correm o risco de sofrer, mas que nem sempre sabem exatamente o que são, como agem e quais danos podem vir a causar aos computadores e sistemas. Qual dos itens abaixo "não" pertence ao ciclo de um ataque:
	
	
	
	Quebra de sigilo bancário.
	
	
	Exploração das informações.
	
	
	Camuflagem das evidências.
	
	
	Obtenção do acesso.
	
	
	Levantamento das informações.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		4.
		Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das opções abaixo Não representa um destes passos?
	
	
	
	Camuflagem das Evidências
	
	
	Obtenção de Acesso
	
	
	Levantamento das Informações
	
	
	Divulgação do Ataque
	
	
	Exploração das Informações
	
	
	
	 
		
	
		5.
		A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de:
	
	
	
	Fragmentação de pacotes IP
	
	
	Buffer Overflow
	
	
	Fraggle
	
	
	Smurf
	
	
	SQL injection
	
	Gabarito
Coment.
	
	
	
	 
		
	
		6.
		Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de
	
	
	
	Fragmentação de Pacotes IP
	
	
	SQL Injection
	
	
	Fraggle
	
	
	Buffer Overflow
	
	
	Smurf
	
	Gabarito
Coment.
	
	
	Gabarito
Coment.
	
	
	
	 
		
	
		7.
		Pedro realizou um ataque em um site e conseguiu um acesso privilegiado através do Banco de dados. Neste caso podemos afirmar que Pedro realizou um ataque do tipo:
	
	
	
	SYN Flooding
	
	
	IP Spoofing
	
	
	Buffer Overflow
	
	
	Força bruta
	
	
	SQLinjection
	
	
	
	 
		
	
		8.
		Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital as empresas se viram obrigadas a pensar na segurança de suas informações para evitar ameaças e golpes. Assim, a segurança da informação surgiu para reduzir possíveis ataques aos sistemas empresariais e domésticos. Resumindo, a segurança da informação é uma maneira de proteger os sistemas de informação contra diversos ataques, ou seja, mantendo documentações e arquivos. Podemos citar como ítens básicos, reconhecidos, de um ataque a sistemas de informação:
	
	
	
	Scaming de protocolos, Pedido de informações e Invasão do sistema.
	
	
	Engenharia Social, Invasão do sistema e Alteração das informções.
	
	
	Levantamento das informações, Exploração das informações e Obtenção do acesso.
	
	
	Adequação das informações, Pressão sobre os funcionários e Descoberta de senhas.
	
	
	Estudo do atacante, Descoberta de informações e Formalização da invasão.
		1.
		Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para isso implementou um programa que que irá coletar informações pessoais e financeiros da vítima. Para obter sucesso no ataque, Antônio irá induzir o acesso a página fraudulenta através do envio de uma mensagem não solicitada. Neste caso estavamos nos referindo ao ataque do tipo
	
	
	
	Shrink wrap code
	
	
	DDos
	
	
	SQL Injection
	
	
	Phishing Scan
	
	
	Source Routing
	
	
	
	 
		
	
		2.
		Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções abaixo Não representa um destes tipos de ataques?
	
	
	
	Ataque à Aplicação
	
	
	Ataque para Obtenção de Informações
	
	
	Ataques Genéricos
	
	
	Ataque de Configuração mal feita
	
	
	Ataque aos Sistemas Operacionais
	
	
	
	 
		
	
		3.
		Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas do protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em cada porta. Qual seria este ataque:
	
	
	
	Port Scanning.
	
	
	Syn Flooding.
	
	
	Fraggle.
	
	
	Ip Spoofing.
	
	
	Packet Sniffing.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		4.
		João e Pedro são administrador de sistemas de uma importante empresa e estão instalando uma nova versão do sistema operacional Windows para máquinas servidoras. Durante a instalação Pedro percebeu que existem uma série de exemplos de códigos já prontos para serem executados, facilitando assim o trabalho de administração do sistema. Qual o tipo de ataque que pode acontecer nesta situação?
	
	
	
	Fraggle
	
	
	Shrink Wrap Code
	
	
	Dumpster Diving ou Trashing
	
	
	Phishing Scan
	
	
	Smurf
	
	Gabarito
Coment.
	
	
	
	 
		
	
		5.
		Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são realizados para um ataque de segurança ?
	
	
	
	O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento
	
	
	O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema.
	
	
	O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência.
	
	
	O atacante tenta manter seu próprio domínio sobre osistema
	
	
	O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação".
	
	
	
	 
		
	
		6.
		Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão?
	
	
	
	DDos
	
	
	Source Routing
	
	
	SQL Injection
	
	
	Phishing Scan
	
	
	Shrink wrap code
	
	
	
	 
		
	
		7.
		Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Se dá através do envio de mensagem não solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa ou site popular. Qual seria este ataque:
	
	
	
	Port Scanning.
	
	
	Phishing Scam.
	
	
	Ip Spoofing.
	
	
	Packet Sniffing.
	
	
	Dumpster diving ou trashing.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		8.
		Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP , que foi mascarado pelo atacante.
	
	
	
	Smurf
	
	
	Dumpster Diving ou Trashing
	
	
	Fraggle
	
	
	Shrink Wrap Code
	
	
	Phishing Scan
		1.
		Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco:
	
	
	
	Risco percebido;
	
	
	Risco residual;
	
	
	Risco tratado;
	
	
	Risco verdadeiro;
	
	
	Risco real;
	
	
	
	 
		
	
		2.
		Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ?
	
	
	
	Spammer
	
	
	Rootkit
	
	
	Spyware
	
	
	Bot/Botnet
	
	
	Phishing
	
	Gabarito
Coment.
	
	
	
	 
		
	
		3.
		Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de obter informações pessoais de usuários de sites da Internet ou site corporativo ?
	
	
	
	Spyware
	
	
	Phishing
	
	
	Backdoor
	
	
	Rootkit
	
	
	Defacement
	
	
	
	 
		
	
		4.
		Qual das opções abaixo não representa uma das etapas da Gestão de Risco:
	
	
	
	Manter e melhorar os riscos identificados nos ativos
	
	
	Identificar e avaliar os riscos.
	
	
	Verificar e analisar criticamente os riscos.
	
	
	Manter e melhorar os controles
	
	
	Selecionar, implementar e operar controles para tratar os riscos.
	
	
	
	 
		
	
		5.
		Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento do risco, exceto:
	
	
	
	Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco.
	
	
	Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
	
	
	Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.
	
	
	Identificar os riscos de segurança presentes.
	
	
	Aplicar controles apropriados para reduzir os riscos.
	
Explicação:
Identificar os riscos de segurança presentes.===> FALSO. Não só presentes como existentes em qualquer situação.
Aplicar controles apropriados para reduzir os riscos.===> VERDADE
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco.===> VERDADE
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.===> VERDADE
Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. ===> VERDADE
 
 
 
	
	
	
	 
		
	
		6.
		Qual o nome da técnica/ataque ou maneira de identificar trafego de dados que "passam" em uma rede de computadores ?
	
	
	
	Monitor
	
	
	Spyware
	
	
	DoS
	
	
	Sniffer
	
	
	Keylogger
	
	Gabarito
Coment.
	
	
	
	 
		
	
		7.
		Qual o nome do ataque ou maneira de fazer propaganda por meio digitais através de instalação de jogos, aplicativos e softwares ?
	
	
	
	Adware
	
	
	Trojan
	
	
	Rootkit
	
	
	Spyware
	
	
	Backdoor
	
	Gabarito
Coment.
	
	
	
	 
		
	
		8.
		Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infra-estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de alarmes. Neste caso que tipo de barreira você está implementando?
	
	
	
	Deter
	
	
	Detectar
	
	
	Discriminar
	
	
	Desencorajar
	
	
	Dificultar
		1.
		Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da Informação:
	
	
	
	Probabilidade de uma ameaça explorar uma vulnerabilidade
	
	
	Probabilidade de um ativo explorar uma ameaça.
	
	
	Probabilidade de uma ameaça explorar um incidente.
	
	
	Probabilidade de um incidente ocorrer mais vezes.
	
	
	Probabilidade de um ativo explorar uma vulnerabilidade.
	
	
	
	 
		
	
		2.
		Vamos analisar cada item. E marque a alternativa correta.
	
	
	
	RSS (Really Simple Syndication) é uma forma de Feed que possibilita ao usuário receber dados de diversas fontes, reunindo-os em único local;
	
	
	O FTP (file transfer protocol) é o protocolo para transferência de arquivos do conjunto TCP/IP. Não é o único capaz de transferir arquivos, mas este é especializado e possui vários comandos para navegação e transferência de arquivos;
	
	
	O antivírus é uma ferramenta que auxilia no combate às pragas eletrônicas
	
	
	O driver do HD possibilita a comunicação entre o HD e o computador/sistema operacional;
	
	
	O HTTP (hipertexto transfer protocol)? a ? é o protocolo utilizado pela WEB;
	
	
	
	 
		
	
		3.
		Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.
	
	
	
	Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança.
	
	
	O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.
	
	
	As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana.
	
	
	As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos
	
	
	A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido.
	
Explicação:
O ativo que tem o maior risco de disponibilidade, ou seja, aquele que tem maior acessibilidade, por conseguinte é também aquele que tem a maior possibilidade de risco.
	
	
	
	 
		
	
		4.
		É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Qual das opções abaixo Não representa um destes propósitos?
	
	
	
	Preparação de um plano de respostas a incidentes.
	
	
	Descrição dos requisitos de segurança da informação para um produto.
	
	
	Preparação de um plano de continuidade de negócios.
	
	
	Conformidade Legal e a evidência da realização dos procedimentos corretosPreparação de um plano para aceitar todos os Riscos
	
	Gabarito
Coment.
	
	
	
	 
		
	
		5.
		Qual o nome do ataque que é muito utilizado em espionagem, onde esse é utilizado para obter informações confidenciais em lixos ?
	
	
	
	DoS
	
	
	Defacement
	
	
	Backdoor
	
	
	Adware
	
	
	Dumpster diving
	
	Gabarito
Coment.
	
	
	
	 
		
	
		6.
		Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos numéricos para os componentes associados ao risco.
	
	
	
	Método Numérico.
	
	
	Método Exploratório.
	
	
	Método Classificatório
	
	
	Método Qualitativo
	
	
	Método Quantitativo
	
	
	
	 
		
	
		7.
		Qual das opções abaixo não representa uma das etapas da Gestão de Risco:
	
	
	
	Manter e melhorar os controles
	
	
	Selecionar, implementar e operar controles para tratar os riscos.
	
	
	Verificar e analisar criticamente os riscos.
	
	
	Manter e melhorar os riscos identificados nos ativos
	
	
	Identificar e avaliar os riscos.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		8.
		Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta especificamente um dos três elementos da tríade da segurança da informação. Qual é o ataque ?
	
	
	
	DoS/DDoS
	
	
	Spyware
	
	
	Backdoor
	
	
	0day
	
	
	Adware
		1.
		Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da Informação:
	
	
	
	Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos
	
	
	Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos
	
	
	Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes.
	
	
	Tudo aquilo que tem origem para causar algum tipo de erro nos ativos
	
	
	Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos
	
	
	
	 
		
	
		2.
		Qual das opções abaixo representa o tipo de ação quando observamos que o custo de proteção contra um determinado risco não vale a pena ser aplicado:
	
	
	
	Garantia do Risco
	
	
	Monitoramento do Risco
	
	
	Aceitação do Risco
	
	
	Recusar o Risco
	
	
	Comunicação do Risco
	
	
	
	 
		
	
		3.
		Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles (soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" na Análise e Avaliação dos Riscos:
	
	
	
	A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco.O risco é representando em termos de possíveis perdas financeiras.
	
	
	Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo.
	
	
	Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita.
	
	
	Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados.
	
	
	Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		4.
		Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar":
	
	
	
	Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação.
	
	
	Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio.
	
	
	Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões.
	
	
	Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco.
	
	
	Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		5.
		Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco:
	
	
	
	Eliminar os riscos completamente e não precisar mais tratá-los
	
	
	Manter a reputação e imagem da organização
	
	
	Melhorar a efetividade das decisões para controlar os riscos
	
	
	Melhorar a eficácia no controle de riscos
	
	
	Entender os riscos associados ao negócio e a gestão da informação
	
	Gabarito
Coment.
	
	
	
	 
		
	
		6.
		Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no momento da descoberta ?
	
	
	
	Spam
	
	
	Adware
	
	
	Rootkit
	
	
	0day
	
	
	Backdoor
	
	
	
	 
		
	
		7.
		Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de Banco de Dados, pretende instalar dispositivos de autenticação de acesso físico, que será implementado através de dispositivo biométrico. Neste caso que tipo de barreira você está implementando?
	
	
	
	Deter
	
	
	Desencorajar
	
	
	Detectar
	
	
	Dificultar
	
	
	Discriminar
	
	
	
	 
		
	
		8.
		Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de incidentes sequencialmente ?
	
	
	
	Ameaça, incidente, impacto e recuperação
	
	
	Incidente, recuperação, impacto e ameaça
	
	
	Ameaça, impacto, incidente e recuperação
	
	
	Impacto, ameaça, incidente e recuperação
	
	
	Incidente, impacto, ameaça e recuperação
		1.
		Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:
	
	
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI.
	
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado.
	
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado.
	
	
	implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais.
	
	
	implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		2.
		Um Firewall pode ser definido como uma coleção de componentes, colocada entre duas redes, que coletivamente possua propriedades que:
	
	
	
	garantem que apenas o tráfego de fora para dentro da rede deve passar por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação.
	
	
	garantem que todo o tráfego de dentro para fora da rede e vice-versa deve ser bloqueado, independentemente da política de segurança adotada. Todo firewall deve ser à prova de violação.
	
	
	garantem que todo o tráfego de dentro para fora da rede, e vice-versa, passe por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação.
	
	
	independentemente da política de segurança adotada, tem como objetivo principal impedir a entrada de vírus em um computador,via arquivos anexados a e-mails.
	
	
	garantem que apenas o tráfego de dentro para fora da rede deve passar por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação.
	
	
	
	 
		
	
		3.
		Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares?
	
	
	
	Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	
	Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	
	Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	
	Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	
	Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		4.
		Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos:
	
	
	
	Autenticidade, originalidade e abrangência
	
	
	Integridade, confidencialidade e disponibilidade
	
	
	Prevenção, proteção e reação
	
	
	Integridade, prevenção e proteção
	
	
	Flexibilidade, agilidade e conformidade
	
	
	
	 
		
	
		5.
		Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares?
	
	
	
	Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	
	Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	
	Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	
	Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	
	Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		6.
		Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança?
	
	
	
	Confidencialidade;
	
	
	Não-Repúdio;
	
	
	Integridade;
	
	
	Autenticidade;
	
	
	Auditoria;
	
	Gabarito
Coment.
	
	
	
	 
		
	
		7.
		De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve:
	
	
	
	ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização.
	
	
	apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos.
	
	
	conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção.
	
	
	revelar informações sensíveis da organização.
	
	
	conter o registro dos incidentes de segurança da organização.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		8.
		Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.
	
	
	
	Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
	
	
	Os riscos residuais são conhecidos antes da comunicação do risco.
	
	
	Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.
	
	
	A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
	
	
	Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
		1.
		Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção?
	
	
	
	Normas.
	
	
	Relatório Estratégico.
	
	
	Diretrizes.
	
	
	Manuais.
	
	
	Procedimentos.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		2.
		A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança?
	
	
	
	Gerenciamento das Operações e Comunicações
	
	
	Segurança Física e do Ambiente.
	
	
	Gestão de Incidentes de Segurança da Informação
	
	
	Controle de Acesso
	
	
	Gestão da Continuidade do Negócio
	
	
	
	 
		
	
		3.
		A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança?
	
	
	
	Gerenciamento das Operações e Comunicações
	
	
	Segurança em Recursos Humanos
	
	
	Segurança Física e do Ambiente
	
	
	Desenvolvimento e Manutenção de Sistemas
	
	
	Controle de Acesso
	
	
	
	 
		
	
		4.
		Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais:
	
	
	
	Requisitos de negócio, Análise de risco, Requisitos legais
	
	
	Análise de vulnerabilidades, requisitos legais e classificação da informação
	
	
	Classificação da informação, requisitos de negócio e análise de risco
	
	
	Análise de risco, análise do impacto de negócio (BIA), classificação da informação
	
	
	Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais
	
	Gabarito
Coment.
	
	
	
	 
		
	
		5.
		Para a implementação de uma regulamentação de monitoramento eletrônico, necessitamos atentar a alguns pontos, EXCETO:
	
	
	
	Ciência por parte dos colaboradores acerca dos sistemas de monitoramento implantados.
	
	
	Colaboradores deverão estar cientes de que a empresa poderá a vir inspecionar todo o e qualquer arquivo trafegado na rede.
	
	
	Os colaboradores estão cientes que podem copiar ferramentas disponibilizados pela empresa para uso externo.
	
	
	Os colaboradores poderão utilizar a internet corporativa para atividades lícitas em seu horário de descanso.
	
	
	Caso ocorra a divulgação de quaisquer informações confidenciais da empresa, estarão sujeitos às sanções cabíveis.
	
	
	
	 
		
	
		6.
		Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar:
	
	
	
	Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra.
	
	
	Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência.
	
	
	Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
	
	
	Os objetivos de controle e os controles desta Norma têm como finalidade ser implementadospara atender aos requisitos identificados exclusivamente por meio da classificação das informações.
	
	
	A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos.
	
	
	
	 
		
	
		7.
		Marque a alternativa que NÃO representa uma alternativa a mitigação de risco:
	
	
	
	Suposição de risco
	
	
	Prevenção de risco
	
	
	Transferência de risco
	
	
	Aceitação de risco
	
	
	Limitação de risco
	
	
	
	 
		
	
		8.
		Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas.
1) Comitê de segurança da informação. 
2) Controle. 
3) Funções de software e hardware. 
4) Deve ser analisado criticamente. 
5) Política.
( ) Controle. 
( ) Firewall. 
( ) estrutura organizacional. 
( ) Permissão de acesso a um servidor. 
( ) Ampla divulgação das normas de segurança da informação.
A combinação correta entre as duas colunas é:
	
	
	
	2-3-1-5-4.
	
	
	5-1-4-3-2.
	
	
	4-3-5-2-1.
	
	
	1-2-4-3-5.
	
	
	4-3-1-2-5.
		1.
		Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.
	
	
	
	Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.
	
	
	Os riscos residuais são conhecidos antes da comunicação do risco.
	
	
	A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
	
	
	Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
	
	
	Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		2.
		A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio:
	
	
	
	É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
	
	
	Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização.
	
	
	A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos.
	
	
	São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender.
	
	
	Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		3.
		Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma:
	
	
	
	Análise/avaliação sistemática dos riscos de segurança da informação
	
	
	Análise/revisão sistemática dos ativos de segurança da informação
	
	
	Análise/orientação sistemática dos cenários de segurança da informação
	
	
	Análise/avaliação sistemática dos incidentes de segurança da informação
	
	
	Identificação/avaliação sistemática dos eventos de segurança da informação
	
	
	
	 
		
	
		4.
		Dada as assertivas, marque a opção correta: I- O risco tem duas dimensões: (i) probabilidade de ocorrência e (ii) impacto sobre o projeto. II- Dificilmente as chances de um risco ser totalmente eliminado é real. III- A gestão de riscos só visa o monitoramento para detecção de ameaças.
	
	
	
	Apenas III correta
	
	
	Apenas I e II corretas
	
	
	Apenas II correta
	
	
	Apenas I correta
	
	
	Apenas II e III corretas
	
	
	
	 
		
	
		5.
		Os processos que envolvem a gestão de risco são, exceto:
	
	
	
	Realizar a análise qualitativa do risco
	
	
	Gerenciar as respostas aos riscos
	
	
	Identificar os riscos
	
	
	Planejar o gerenciamento de risco
	
	
	Realizar a análise quantitativa do risco
	
	
	
	 
		
	
		6.
		Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos?
	
	
	
	Diretrizes; Normas e Procedimentos
	
	
	Diretrizes; Manuais e Procedimentos
	
	
	Diretrizes; Normas e Relatórios
	
	
	Manuais; Normas e Procedimentos
	
	
	Manuais; Normas e Relatórios
	
	
	
	 
		
	
		7.
		A gestão da continuidade do negócio está associada, a não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. 
Analise: 
I. Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio; 
II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade; 
III. Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação. 
IV. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação; 
Quanto aos controles relacionados à gestão da continuidade do negócio, marque a opção correta:
	
	
	
	II e IV, somente
	
	
	I, II e IV, somente
	
	
	I e II, somente
	
	
	I, II e III, somente
	
	
	I e III, somente
	
	Gabarito
Coment.
	
	
	
	 
		
	
		8.
		A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos levando-se em conta os objetivos e _________________ globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ____________ e do impacto potencial ao negócio.
	
	
	
	oportunidades, vulnerabilidades
	
	
	oportunidades, ações
	
	
	estratégias, ameaças
	
	
	especulações, ameaças
	
	
	determinações, ações
		1.
		A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:
	
	
	
	implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais.
	
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado.
	
	
	implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI.
	
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado
	
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI.
	
	
	
	 
		
	
		2.
		A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
	
	
	
	Corretivas e Correção.Corretivas e Corrigidas.
	
	
	Prevenção e Preventivas.
	
	
	Corrigidas e Preventivas.
	
	
	Corretivas e Preventivas.
	
	
	
	 
		
	
		3.
		A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise:
	
	
	
	Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores
	
	
	A avaliação dos riscos e incidentes desejados
	
	
	A avaliação das ações preventivas e corretivas
	
	
	A realimentação por parte dos envolvidos no SGSI
	
	
	Os resultados das auditorias anteriores e análises críticas
	
	Gabarito
Coment.
	
	
	
	 
		
	
		4.
		Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de:
	
	
	
	Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
	
	
	Definir e medir a eficácia dos controles ou grupos de controle selecionados.
	
	
	Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
	
	
	Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização.
	
	
	Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes
	
	
	
	 
		
	
		5.
		Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir:
	
	
	
	A abordagem de análise/avaliação das vulnerabilidades da organização.
	
	
	Identificar, Analisar e avaliar os riscos.
	
	
	A política do BIA.
	
	
	Identificar e avaliar as opções para o tratamento das vulnerabilidades.
	
	
	A politica de gestão de continuidade de negócio.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		6.
		A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ?
	
	
	
	Reação.
	
	
	Limitação.
	
	
	Preventiva.
	
	
	Correção.
	
	
	Recuperação .
	
	
	
	 
		
	
		7.
		A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é:
	
	
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação.
	
	
	Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões.
	
	
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	
	
	Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI.
	
	
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		8.
		Sobre a afirmação: ¿irá definir que a informação é originária de quem diz originar, de forma a impedir que alterações na mensagem original confundam as partes envolvidas na comunicação. E, mesmo que haja alguma alteração na mensagem original, que seja passível de ser detectada¿. Podemos afirmar que estamos conceituando:
	
	
	
	Auditoria
	
	
	Confiança
	
	
	Não-repúdio
	
	
	Integridade
	
	
	Legalidade
		1.
		Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização:
	
	
	
	Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas
	
	
	Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI
	
	
	Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco.
	
	
	Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI
	
	
	Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		2.
		Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações?
	
	
	
	Lógica, Administrativa e Contábil.
	
	
	Administrativa, Contábil e Física.
	
	
	Administrativa, Física e Programada.
	
	
	Administrativa, Física e Lógica.
	
	
	Lógica, Física e Programada.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		3.
		No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um Problema de Segurança:
	
	
	
	Restrição Financeira.
	
	
	Uma Operação Incorreta ou Erro do usuário.
	
	
	Uma inundação.
	
	
	A perda de qualquer aspecto de segurança importante para a organização.
	
	
	Uma tempestade.
	
	
	
	 
		
	
		4.
		A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
	
	
	
	Prevenção e Preventivas
	
	
	Corretivas e Correção
	
	
	Corrigidas e Preventivas
	
	
	Corretivas e Corrigidas
	
	
	Corretivas e Preventivas
	
	
	
	 
		
	
		5.
		Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para:
	
	
	
	Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores.
	
	
	Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. 
	
	
	Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram.
	
	
	Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 
	
	
	Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		6.
		Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação?
	
	
	
	Segregação de funções.
	
	
	Auditoria.
	
	
	Procedimentos elaborados.Suporte técnico.
	
	
	Conscientização dos usuários.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		7.
		A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ?
	
	
	
	Desencorajamento
	
	
	Limitação
	
	
	Correção
	
	
	Reação
	
	
	Preventiva
	
	
	
	 
		
	
		8.
		O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do:
	
	
	
	Selecionar objetivos de controle e controles para o tratamento de riscos.
	
	
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	
	
	A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.
	
	
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação.
		
		Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:
	
	
	
	II.
	
	
	I e III.
	
	
	III e IV.
	
	
	I e II.
	
	
	II e III.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		2.
		A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:
	
	
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI.
	
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado
	
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado.
	
	
	implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI.
	
	
	implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais.
	
	
	
	 
		
	
		3.
		A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
	
	
	
	Corretivas e Correção.
	
	
	Corrigidas e Preventivas.
	
	
	Corretivas e Preventivas.
	
	
	Prevenção e Preventivas.
	
	
	Corretivas e Corrigidas.
	
	
	
	 
		
	
		4.
		A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise:
	
	
	
	A avaliação das ações preventivas e corretivas
	
	
	A avaliação dos riscos e incidentes desejados
	
	
	Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores
	
	
	A realimentação por parte dos envolvidos no SGSI
	
	
	Os resultados das auditorias anteriores e análises críticas
	
	Gabarito
Coment.
	
	
	
	 
		
	
		5.
		Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de:
	
	
	
	Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
	
	
	Definir e medir a eficácia dos controles ou grupos de controle selecionados.
	
	
	Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
	
	
	Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes
	
	
	Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização.
	
	
	
	 
		
	
		6.
		A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ?
	
	
	
	Correção.
	
	
	Limitação.
	
	
	Recuperação .
	
	
	Preventiva.
	
	
	Reação.
	
	
	 
		
	
		7.
		A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é:
	
	
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação.
	
	
	Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões.
	
	
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	
	
	Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI.
	
	
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		8.
		Sobre a afirmação: ¿irá definir que a informação é originária de quem diz originar, de forma a impedir que alterações na mensagem original confundam as partes envolvidas na comunicação. E, mesmo que haja alguma alteraçãona mensagem original, que seja passível de ser detectada¿. Podemos afirmar que estamos conceituando:
	
	
	
	Não-repúdio
	
	
	Auditoria
	
	
	Integridade
	
	
	Legalidade
	
	
	Confiança
		1.
		Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que:
	
	
	
	As metas e objetivos definidos sejam comprometidos por interrupções inesperadas
	
	
	As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas
	
	
	As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas
	
	
	As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas
	
	
	As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas
	
	
	
	 
		
	
		2.
		Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada?
	
	
	
	Afastar o incidente do cliente
	
	
	Controlar o incidente
	
	
	Tomar controle da situação
	
	
	Confirmar a natureza e extensão do incidente
	
	
	Comunicar-se com as partes interessadas
	
	Gabarito
Coment.
	
	
	
	 
		
	
		3.
		Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)?
	
	
	
	O PRD é mais abrangente que o PCN.
	
	
	O PCN só pode ser implementado se o PRD já tiver em uso.
	
	
	O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação.
	
	
	O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados.
	
	
	O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-se na continuidade para todos os processos.
	
	
	
	 
		
	
		4.
		De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de continuidade do negócio (GCN).
	
	
	
	A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a incidentes, de continuidade e de comunicação.
	
	
	GCN é a fase inicial da implantação da gestão de continuidade em uma organização.
	
	
	GCN é uma abordagem alternativa à gestão de riscos de segurança da informação.
	
	
	A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de interrupção das atividades críticas da organização.
	
	
	A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou) atividades críticas e recursos de suporte de uma organização.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		5.
		Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações que você deve realizar:
	
	
	
	Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e serviços fundamentais para a organização.
	
	
	Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de produtos e serviços fundamentais para a organização.
	
	
	Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização.
	
	
	Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização.
	
	
	Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		6.
		Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ?
	
	
	
	Planejamento, estudo e implementação do programa
	
	
	Manutenção, desenvolvimento e implementação do programa
	
	
	Manutenção, implementação do programa e maturação
	
	
	Planejamento, maturação e desenvolvimento
	
	
	Planejamento, desenvolvimento e implementação do programa
	
	
	
	 
		
	
		7.
		Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação relacionada à:
	
	
	
	Integridade;
	
	
	Autenticidade;
	
	
	Não-Repúdio;
	
	
	Confidencialidade;
	
	
	Auditoria;
	
	
	
	 
		
	
		8.
		Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações.
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento:
	
	
	
	Incluindo a GCN na cultura da organização.
	
	
	Testando, mantendo e analisando criticamente os preparativos de GCN.
	
	
	Determinando a estratégia de continuidade de negócios.
	
	
	Desenvolvendo e implementando uma resposta de GCN.
	
	
	Entendendo a organização.
		1.
		Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) esteja no nível mais alto da organização?
	
	
	
	Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas.
	
	
	Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções inesperadas.
	
	
	Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções inesperadas.
	
	
	Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas.
	
	
	Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas.
	
	Gabarito
Coment.
	
	
	
	 
		
	
		2.
		Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança?
	
	
	
	Auditoria;
	
	
	Não-Repúdio;
	
	
	Autenticidade;
	
	
	Confidencialidade;
	
	
	Integridade;
	
	Gabarito
Coment.
	
	
	
	 
		
	
		3.
		BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios.
	
	
	
	Natural e Desordenada
	
	
	Clara e Intelegível
	
	
	Qualitativa e Quantitativa
	
	
	Simples e Objetiva.
	
	
	Estatística e Ordenada
	
	Gabarito
Coment.
	
	
	
	 
		
	
		4.
		O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"?
	
	
	
	Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
	
	
	A organização