Baixe o app para aproveitar ainda mais
Prévia do material em texto
1a Questão Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 (três) aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança da Informação". Quais elementos compõem a tríade da segurança da informação? Privacidade, Governabilidade e Confidencialidade Disponibilidade, Privacidade e Segurabilidade Autenticidade, Legalidade e Privacidade Integridade, Legalidade e Confiabilidade Confiabilidade, Integridade e Disponibilidade Respondido em 01/04/2020 13:19:13 2a Questão Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a tecnologia da informação apóia as operações e processos das empresas, qual das opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo? O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; O crescimento explosivo dos cursos relacionados com a tecnologia da informação; O uso da internet para sites de relacionamento; O Aumento no consumo de softwares licenciados; O crescimento explosivo da venda de computadores e sistemas livres; Respondido em 01/04/2020 13:19:09 3a Questão Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta situação? Passivo Intangível Tangível Ativo Abstrato Respondido em 01/04/2020 13:19:13 4a Questão O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas? Apoio às Estratégias para vantagem competitiva Apoio ao uso da Internet e do ambiente wireless Apoio às Operações Apoio aos Processos Apoio à tomada de decisão empresarial Respondido em 01/04/2020 13:19:40 5a Questão Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? Impacto. Ameaça. Vulnerabilidade. Valor. Risco. Respondido em 01/04/2020 13:19:20 6a Questão Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma empresa. Neste contexto qual o objetivo fundamental da ¿Segurança da Informação¿? Visam à proteção alguns poucos ativos de uma empresa que contêm informações. Visa à proteção de todos os ativos de uma empresa que contêm informações. Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informações. Visa à proteção dos equipamentos de uma empresa que contêm informações. Visa principalmente à proteção dos ativos patrimoniais que contêm informações. Respondido em 01/04/2020 13:19:25 7a Questão Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Disponibilidade Integridade Auditoria Confidencialidade Privacidade Respondido em 01/04/2020 13:19:46 8a Questão O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará está relacionado com qual conceito de? Ameaça. Risco. Impacto. Vulnerabilidade. Valor. 1a Questão Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: Métodos Quantitativos Medidas Corretivas e Reativas Medidas Perceptivas Métodos Detectivos Medidas Preventivas Respondido em 01/04/2020 13:20:33 2a Questão Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios considerados como fundamentais para atingir os objetivos da Segurança da Informação: Confidencialidade, Descrição e Integridade. Confiabilidade, Disponibilidade e Integridade. Confidencialidade, Indisponibilidade e Integridade. Confiabilidade, Disponibilidade e Intencionalidade. Confidencialidade, Disponibilidade e Integridade. Respondido em 01/04/2020 13:20:38 Gabarito Coment. 3a Questão De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de segurança¿, podemos dizer que: A afirmação é falsa. A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. A afirmação é verdadeira. A afirmação é somente falsa para as empresas privadas. A afirmação é somente verdadeira para as empresas privadas. Respondido em 01/04/2020 13:20:45 4a Questão Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que as informações enviadas por ele ao banco e as enviadas do banco para ele são originais, ou seja, não foram alteradas durante a transmissão? Neste caso estamos falando de: Integridade Não-repúdio Disponibilidade Confidencialidade Autenticação Respondido em 01/04/2020 13:20:49 Gabarito Coment. 5a Questão A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para: A gestão da área comercial. A gestão de orçamento. A gestão do ciclo da informação interna. A gestão dos usuários. A gestão dos negócios da organização . Respondido em 01/04/2020 13:20:54 6a Questão Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança? Irrestrito. Confidencial. Pública. Interna. Secreta. Respondido em 01/04/2020 13:21:06 7a Questão VULNERABILIDADE DE SEGURANÇA O ciclo de vida da informação Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que está dialogando com seu banco e não com alguém que se faz passar por ele? Neste caso estamos falando de:Legalidade Confidencialidade Autenticação Disponibilidade Não-repúdio Respondido em 01/04/2020 13:21:02 8a Questão Ao elaborar e comunicar uma Política de Segurança da Informação é necessário: I. Usar uma linguagem conhecida. II. Usar meios adequados aos tipos de mensagens e usuários. III. Adotar estilo simples e claro. IV. Respeitar o interlocutor sem superestimá-lo nem subestimá-lo. V. Respeitar a cultura organizacional e a do país a que se destina. As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam. As alternativas I, II, IV e V estão corretas, mas a III está errada porque uma política deve ser construída considerando-se uma linguagem tecnológica independentemente dos tipos de usuários a que se destina. As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única, mesmo para uma multinacional, e as características humanas e legais do país na qual é aplicada não podem interferir na sua tradução. As alternativas I, II, III e V estão corretas, mas a IV está errada porque deve supor-se que todos os usuários foram selecionados pela empresa, portanto entendem a tecnologia usada. As alternativas I, III, IV e V estão corretas, mas a II está errada pois este é um item irrelevante no contexto da política de segurança. Respondido em 01/04/2020 13:21:18 1a Questão Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "engenheiros". Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo "engenheiros" acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Confidencialidade Integridade Auditoria Autenticidade Disponibilidade Respondido em 01/04/2020 13:21:20 Gabarito Coment. Gabarito Coment. 2a Questão Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria compartilhe as informações confidenciais que possui. Neste caso estamos falando de vulnerabilidade do tipo: Mídia Física Humana Natural Comunicação Respondido em 01/04/2020 13:21:35 Gabarito Coment. 3a Questão Maio/2011 - A Sony sofre invasão de hackers com o vazamento de informações de mais de 100 milhões de usuários da rede online de games PlayStation Network. O ataque à base de dados de clientes se realizou desde um servidor de aplicações conectado com ela, e que está depois de um servidor site e dois firewalls. Segundo a companhia, os hackers encobriram o ataque como uma compra na plataforma online de Sony e depois de passar do servidor site, O ataque, que foi considerado um dos maiores, no sentido do vazamento de dados confidenciais, da história obrigou a Sony a reconstruir grande parte da sua rede, causado um prejuízo de 171 milhões de Dólares. A rede também ficou fora do ar por 28 dias, sendo que alguns serviços menos essenciais foram reestabelecidos primeiro e regionalmente antes do reestabelecimento total de todos os serviços. . Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade de Mídias Vulnerabilidade de Comunicação Vulnerabilidade Natural Vulnerabilidade Física Vulnerabilidade de Software Respondido em 01/04/2020 13:21:40 4a Questão A empresa de segurança cibernética IntelCrawler descobriu no dia 17 de janeiro de 2014 ao menos seis ataques em andamento contra varejistas nos Estados Unidos cujos sistemas de cartão de crédito estão infectados com o mesmo tipo de software malicioso usado para roubar dados de cerca de 40 milhões de cartões de crédito da rede Target. O software malicioso que foi usado para tal feito foi o BlackPOS. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Natural. Vulnerabilidade Software. Vulnerabilidade de Comunicação. Vulnerabilidade de Mídias. Vulnerabilidade Física. Respondido em 01/04/2020 13:21:36 Gabarito Coment. 5a Questão Observe a figura acima e complete corretamente a legenda dos desenhos: Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios Respondido em 01/04/2020 13:21:44 Gabarito Coment. 6a Questão Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas por ameaças, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir. I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. Representam vulnerabilidades dos ativos de informação o que consta em: I, II, III e IV. II e III, somente. I, II e IV, somente. I e III, somente. I, III e IV, somente. Respondido em 01/04/2020 13:22:00 Gabarito Coment. 7a Questão Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade. Links sem contingência. Sistema operacional desatualizado. Rede elétrica instável. Funcionário desonesto. Firewall mal configurado. Respondido em 01/04/2020 13:21:57 Gabarito Coment. 8a Questão Analise o trecho abaixo: "Além da falta de água nas torneiras, a crise hídrica começa agora a afetar também a distribuição de energia elétrica no país. Cidades de ao menos sete unidades federativas do Brasil e no Distrito Federal registraram cortes severos, na tarde desta segunda-feira." Jornal O DIA, em 19/01/2015. Neste caso as empresas de Tecnologia que estão localizadas no município apresentam a vulnerabilidade do tipo: Física Natural Comunicação Mídia Hardware 1a Questão As ameaças aproveitam das falhas de segurança da organização, que é considerado como ponto fraco, provocando possíveis danos, perdas e prejuízos aos negócios da empresa. Elas são constantes podendo acontecer a qualquer momento. Portanto é necessário conhecer profundamente qualquer tipo de vulnerabilidades para que não sejam comprometidos os princípios que se refere à segurança da informação. Quanto a sua intencionalidade elas podem ser classificadas como: Software, Hardware e Firmware. Humanas, Mídias e Comunicação. Físicas, Lógicas e Naturais. Comunicação, Físicas e Hardware. Naturais, Involuntárias e voluntárias. Respondido em 01/04/2020 13:22:31 Gabarito Coment. 2a Questão Podemos dizer que os controles que reduzem a probabilidade de umaameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: Métodos Detectivos Métodos Quantitativos Medidas Corretivas e Reativas Medidas Preventivas Medidas Perceptivas Respondido em 01/04/2020 13:22:43 Gabarito Coment. 3a Questão Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( ) Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: 5,1,4,3,2. 3, 1, 5, 2, 4. 3, 2, 4, 5, 1. 3, 1, 4, 5, 2. 5, 2, 4, 3, 1. Respondido em 01/04/2020 13:22:50 4a Questão As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua intencionalidade: Intencional, presencial e remota Natural, voluntária e involuntária Natural, presencial e remota Intencional, proposital e natural Voluntária, involuntária e intencional Respondido em 01/04/2020 13:22:53 Gabarito Coment. 5a Questão As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classificadas como: Voluntárias Tecnológicas. Globalizadas Insconsequentes Destrutivas Respondido em 01/04/2020 13:23:00 Gabarito Coment. 6a Questão Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo teclado do usuário e é enviado para o invasor ? Spyware Defacement Keylogger Backdoor Phishing Respondido em 01/04/2020 13:23:15 7a Questão Desde o aparecimento do primeiro spam, em 1994, a prática de enviar e-mails não solicitados tem sido aplicada com vários objetivos distintos e também utilizando diferentes aplicativos e meios de propagação na rede. Os tipos de spam identificados até o momento são: correntes, boatos, lendas urbanas, propagandas, ameaças, pornografia, códigos maliciosos, fraudes e golpes. É muito importante que se saiba como identificar os spams, para poder detectá-los mais facilmente e agir adequadamente. Dentre as afirmativas abaixo marque aquelas que podemos assinalar como sendo as principais características dos spams: I. Apresentam cabeçalho suspeito. II. Apresentam no campo Assunto palavras com grafia errada ou suspeita. III. Apresentam no campo Assunto textos alarmantes ou vagos. IV. Oferecem opção de remoção da lista de divulgação. V. Prometem que serão enviados "uma única vez. VI. Baseiam-se em leis e regulamentações inexistentes. Estão corretas: II, IV e VI Nenhuma afirmativa está correta Todas as afirmativas estão corretas I, III e V I, II, III, V e VI Respondido em 01/04/2020 13:23:12 Gabarito Coment. 8a Questão Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? Secreto Ativo Passivo Forte Fraco 1a Questão A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de: Fragmentação de pacotes IP Smurf SQL injection Fraggle Buffer Overflow Respondido em 01/04/2020 13:23:39 2a Questão Pedro construiu um programa que permite que ele se conecte remotamente a um computador depois que o programa for instalado na máquina alvo. Neste caso podemos afirmar que Pedro construiu um: Screenlogger Keylogger Worm Trojan Backdoor Respondido em 01/04/2020 13:23:46 Gabarito Coment. 3a Questão Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão? DDos SQL Injection Source Routing Shrink wrap code Phishing Scan Respondido em 01/04/2020 13:23:51 4a Questão Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de SQL Injection Fragmentação de Pacotes IP Fraggle Smurf Buffer Overflow Respondido em 01/04/2020 13:23:54 Gabarito Coment. Gabarito Coment. 5a Questão Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. O ataque que tem como objetivo a verificação do lixo em busca de informações que possam facilitar o ataque é denominado: SQL Injection Dumpster diving ou trashing Ataque smurf IP Spoofing Packet Sniffing Respondido em 01/04/2020 13:24:00 6a Questão Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir posteriormente o acesso à máquina invadida para o atacante ? Spam Backdoor Rootkit Worm 0Day Respondido em 01/04/2020 13:24:16 7a Questão Qual o nome do ataque que tem como objetivo desfigurar a página de um site ? Backdoor Defacement Spam Worm Disfiguration Respondido em 01/04/2020 13:24:21 8a Questão Qual o nome do ataque que tem o intuito de enviar uma quantidade em "massa" de e-mails muitas das vezes indesejáveis ? Backdoor Adware Spyware Spam Rootkit 1a Questão Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles (soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" na Análise e Avaliação dos Riscos: Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização. Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco.O risco é representando em termos de possíveis perdas financeiras. Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita. Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivascomo alto, médio e baixo. Respondido em 01/04/2020 13:24:52 Gabarito Coment. 2a Questão Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de obter informações pessoais de usuários de sites da Internet ou site corporativo ? Backdoor Phishing Spyware Rootkit Defacement Respondido em 01/04/2020 13:24:48 3a Questão Qual das opções abaixo não representa uma das etapas da Gestão de Risco: Selecionar, implementar e operar controles para tratar os riscos. Identificar e avaliar os riscos. Manter e melhorar os controles Manter e melhorar os riscos identificados nos ativos Verificar e analisar criticamente os riscos. Respondido em 01/04/2020 13:24:52 Gabarito Coment. 4a Questão Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento do risco, exceto: Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco. Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. Identificar os riscos de segurança presentes. Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos. Aplicar controles apropriados para reduzir os riscos. Respondido em 01/04/2020 13:24:59 Explicação: Identificar os riscos de segurança presentes.===> FALSO. Não só presentes como existentes em qualquer situação. Aplicar controles apropriados para reduzir os riscos.===> VERDADE Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco.===> VERDADE Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.===> VERDADE Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. ===> VERDADE 5a Questão Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar": Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Respondido em 01/04/2020 13:25:18 Gabarito Coment. 6a Questão A segurança da informação deve ser vista como algo estratégico dentro da organização. E a organização deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da organização criar um plano de gestão voltado para riscos é criando um Plano de Gestão de Risco (PGI). O PGI é composto por 4 fases, quais são elas? Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; Comunicação do impacto Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; Mapeamento de impacto Respondido em 01/04/2020 13:25:39 Gabarito Coment. 7a Questão Qual o nome do ataque que é muito utilizado em espionagem, onde esse é utilizado para obter informações confidenciais em lixos ? DoS Adware Dumpster diving Backdoor Defacement Respondido em 01/04/2020 13:25:28 Gabarito Coment. 8a Questão Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. Respondido em 01/04/2020 13:25:34 Explicação: O ativo que tem o maior risco de disponibilidade, ou seja, aquele que tem maior acessibilidade, por conseguinte é também aquele que tem a maior possibilidade de risco. 1a Questão Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes? Diretrizes. Relatório Estratégico. Normas. Manuais. Procedimentos. Respondido em 01/04/2020 13:25:43 Gabarito Coment. 2a Questão A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é O equipamento de comunicação O plano de continuidade do negócio. A base de dados e arquivos A reputação da organização O serviço de iluminação Respondido em 01/04/2020 13:25:48 3a Questão Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos: Prevenção, proteção e reação Autenticidade, originalidade e abrangência Integridade, confidencialidade e disponibilidade Integridade, prevenção e proteção Flexibilidade, agilidade e conformidade Respondido em 01/04/2020 13:25:52 4a Questão Um Firewall pode ser definido como uma coleção de componentes, colocada entre duas redes, que coletivamente possua propriedades que: independentemente da política de segurança adotada, tem como objetivo principal impedir a entrada de vírus em um computador, via arquivos anexados a e-mails. garantem que todo o tráfego de dentro para fora da rede e vice-versa deve ser bloqueado, independentemente da política de segurança adotada. Todo firewall deve ser à prova de violação. garantem que apenas o tráfego de fora para dentro da rede deve passar por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. garantem que apenas o tráfego de dentro para fora da rede deve passar por ele. Somenteo tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. garantem que todo o tráfego de dentro para fora da rede, e vice-versa, passe por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. Respondido em 01/04/2020 13:26:08 5a Questão Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos? Manuais; Normas e Relatórios Manuais; Normas e Procedimentos Diretrizes; Manuais e Procedimentos Diretrizes; Normas e Relatórios Diretrizes; Normas e Procedimentos Respondido em 01/04/2020 13:26:04 6a Questão A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender. A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação. Respondido em 01/04/2020 13:26:09 Gabarito Coment. 7a Questão Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: Prevenção de risco Limitação de risco Suposição de risco Transferência de risco Aceitação de risco Respondido em 01/04/2020 13:26:25 8a Questão De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve: ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização. conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção. revelar informações sensíveis da organização. conter o registro dos incidentes de segurança da organização. apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos. 1a Questão Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: A política do BIA. A politica de gestão de continuidade de negócio. Identificar, Analisar e avaliar os riscos. A abordagem de análise/avaliação das vulnerabilidades da organização. Identificar e avaliar as opções para o tratamento das vulnerabilidades. Respondido em 01/04/2020 13:26:41 2a Questão Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações? Administrativa, Física e Programada. Administrativa, Contábil e Física. Lógica, Física e Programada. Administrativa, Física e Lógica. Lógica, Administrativa e Contábil. Respondido em 01/04/2020 13:26:37 Gabarito Coment. 3a Questão No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um Problema de Segurança: Uma tempestade. Uma Operação Incorreta ou Erro do usuário. Uma inundação. A perda de qualquer aspecto de segurança importante para a organização. Restrição Financeira. Respondido em 01/04/2020 13:26:53 4a Questão A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Corrigidas Prevenção e Preventivas Corrigidas e Preventivas Corretivas e Preventivas Corretivas e Correção Respondido em 01/04/2020 13:26:48 5a Questão Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para: Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores. Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. Respondido em 01/04/2020 13:26:50 Gabarito Coment. 6a Questão Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação? Procedimentos elaborados. Suporte técnico. Auditoria. Conscientização dos usuários. Segregação de funções. Respondido em 01/04/2020 13:27:06 Gabarito Coment. 7a Questão Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Respondido em 01/04/2020 13:27:12 Gabarito Coment. 8a Questão A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ? Correção Desencorajamento Preventiva Limitação Reação Respondidoem 01/04/2020 13:27:08 1a Questão Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada? Tomar controle da situação Afastar o incidente do cliente Controlar o incidente Confirmar a natureza e extensão do incidente Comunicar-se com as partes interessadas Respondido em 01/04/2020 13:27:21 Gabarito Coment. 2a Questão Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)? O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação. O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados. O PCN só pode ser implementado se o PRD já tiver em uso. O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-se na continuidade para todos os processos. O PRD é mais abrangente que o PCN. Respondido em 01/04/2020 13:27:43 3a Questão O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"? A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa. Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. Respondido em 01/04/2020 13:27:48 Gabarito Coment. 4a Questão Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações. No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento: Testando, mantendo e analisando criticamente os preparativos de GCN. Desenvolvendo e implementando uma resposta de GCN. Incluindo a GCN na cultura da organização. Entendendo a organização. Determinando a estratégia de continuidade de negócios. Respondido em 01/04/2020 13:27:55 Gabarito Coment. 5a Questão Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre? Um ataque massivo pela internet. Uma catástrofe de grandes impactos. Um evento súbito, que ocorre de maneira inesperada. Eventos de ordem natural ou acidental, como terremotos e incêndios. Um evento que causa uma parada nos processos da organização por um período de tempo maior do que ela considera aceitável. Respondido em 01/04/2020 13:28:00 Gabarito Coment. 6a Questão BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios. Simples e Objetiva. Natural e Desordenada Clara e Intelegível Qualitativa e Quantitativa Estatística e Ordenada Respondido em 01/04/2020 13:28:08 7a Questão O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"? Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa. Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. Respondido em 01/04/2020 13:28:18 Gabarito Coment. 8a Questão Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que: As metas e objetivos definidos sejam comprometidos por interrupções inesperadas As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas 1a Questão Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? na Zona Demilitarizada (DMZ) protegida na Zona Demilitarizada (DMZ) suja em uma subrede externa protegida por um proxy ligado diretamente no roteador de borda na rede interna da organizaçãoRespondido em 01/04/2020 13:28:38 Gabarito Coment. 2a Questão O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de: confirmar a identidade do usuário. controlar a expiração da sessão do usuário, caso o mesmo possua cookies desabilitados em seu navegador. criptografar os dados enviados através do formulário para impedir que os mesmos sejam interceptados em curso. testar a aptidão visual do usuário para decidir sobre a folha de estilo CSS a ser utilizada nas páginas subseqüentes. confirmar que o formulário está sendo preenchido por um usuário humano e não por um computador. Respondido em 01/04/2020 13:28:41 3a Questão Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar: Um detector de intrusão para realizar a análise do tráfego da rede Um analisador de protocolo para auxiliar na análise do tráfego da rede Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall Um sniffer de rede, para analisar o tráfego da rede Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede Respondido em 01/04/2020 13:28:46 4a Questão Em relação a firewalls, analise as assertivas abaixo: I.Firewalls em estado de conexão mapeiam pacotes e usam campos cabeçalhos TCP/IP para cuidar da conectividade. II.Firewalls podem implementar gateways em nível de aplicação que examinam os pacotes por dentro, além do cabeçalho TCP/IP, para ver o que a aplicação está fazendo. III. Um problema fundamental com firewalls é que eles oferecem um único perímetro de defesa, o qual, se rompido, deixará comprometida toda a segurança. É correto o que se afirma em : III, apenas I, apenas I, II e III I e II, apenas II, apenas Respondido em 01/04/2020 13:28:37 5a Questão Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar a conexão ou não a um serviço em uma rede modo indireto ? Firewall Indireto Firewall de Borda Firewall com Estado Firewall Proxy Filtro com Pacotes Respondido em 01/04/2020 13:28:52 6a Questão Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos. Respondido em 01/04/2020 13:28:47 Gabarito Coment. 7a Questão Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar: Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede Um detector de intrusão para realizar a análise do tráfego da rede Um analisador de espectro de rede, para analisar o tráfego da rede Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall Um firewall para auxiliar na análise do tráfego da rede Respondido em 01/04/2020 13:28:52 Gabarito Coment. 8a Questão Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e a internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados. Spyware. Antivírus. Firewall. Adware. Mailing.
Compartilhar