GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

1a Questão
	
	
	
	
	Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 (três) aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança da Informação". Quais elementos compõem a tríade da segurança da informação?
		
	
	Privacidade, Governabilidade e Confidencialidade
	
	Disponibilidade, Privacidade e Segurabilidade
	
	Autenticidade, Legalidade e Privacidade
	
	Integridade, Legalidade e Confiabilidade
	 
	Confiabilidade, Integridade e Disponibilidade
	Respondido em 01/04/2020 13:19:13
	
	
	 
	
	 2a Questão
	
	
	
	
	Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a tecnologia da informação apóia as operações e processos das empresas, qual das opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo?
		
	 
	O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações;
	
	O crescimento explosivo dos cursos relacionados com a tecnologia da informação;
	
	O uso da internet para sites de relacionamento;
	
	O Aumento no consumo de softwares licenciados;
	
	O crescimento explosivo da venda de computadores e sistemas livres;
	Respondido em 01/04/2020 13:19:09
	
	
	 
	
	 3a Questão
	
	
	
	
	Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta situação?
		
	
	Passivo
	 
	Intangível
	 
	Tangível
	
	Ativo
	
	Abstrato
	Respondido em 01/04/2020 13:19:13
	
	
	 
	
	 4a Questão
	
	
	
	
	O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas?
		
	
	Apoio às Estratégias para vantagem competitiva
	 
	Apoio ao uso da Internet e do ambiente wireless
	
	Apoio às Operações
	
	Apoio aos Processos
	
	Apoio à tomada de decisão empresarial
	Respondido em 01/04/2020 13:19:40
	
	
	 
	
	 5a Questão
	
	
	
	
	Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de?
		
	
	Impacto.
	
	Ameaça.
	 
	Vulnerabilidade.
	
	Valor.
	
	Risco.
	Respondido em 01/04/2020 13:19:20
	
	
	 
	
	 6a Questão
	
	
	
	
	Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma empresa. Neste contexto qual o objetivo fundamental da ¿Segurança da Informação¿?
		
	
	Visam à proteção alguns poucos ativos de uma empresa que contêm informações.
	 
	Visa à proteção de todos os ativos de uma empresa que contêm informações.
	
	Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informações.
	
	Visa à proteção dos equipamentos de uma empresa que contêm informações.
	
	Visa principalmente à proteção dos ativos patrimoniais que contêm informações.
	Respondido em 01/04/2020 13:19:25
	
	
	 
	
	 7a Questão
	
	
	
	
	Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à:
		
	 
	Disponibilidade
	
	Integridade
	
	Auditoria
	
	Confidencialidade
	
	Privacidade
	Respondido em 01/04/2020 13:19:46
	
	
	 
	
	 8a Questão
	
	
	
	
	O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará está relacionado com qual conceito de?
		
	
	Ameaça.
	
	Risco.
	 
	Impacto.
	
	Vulnerabilidade.
	
	Valor.
	 1a Questão
	
	
	
	Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas:
		
	
	Métodos Quantitativos
	
	Medidas Corretivas e Reativas
	
	Medidas Perceptivas
	
	Métodos Detectivos
	 
	Medidas Preventivas
	Respondido em 01/04/2020 13:20:33
	
	
	 
	
	 2a Questão
	
	
	
	
	Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios considerados como fundamentais para atingir os objetivos da Segurança da Informação:
		
	
	Confidencialidade, Descrição e Integridade.
	
	Confiabilidade, Disponibilidade e Integridade.
	
	Confidencialidade, Indisponibilidade e Integridade.
	
	Confiabilidade, Disponibilidade e Intencionalidade.
	 
	Confidencialidade, Disponibilidade e Integridade.
	Respondido em 01/04/2020 13:20:38
	
	
	Gabarito
Coment.
	
	 
	
	 3a Questão
	
	
	
	
	De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de segurança¿, podemos dizer que:
		
	
	A afirmação é falsa.
	
	A afirmação será somente verdadeira se as empresas forem de um mesmo mercado.
	 
	A afirmação é verdadeira.
	
	A afirmação é somente falsa para as empresas privadas.
	
	A afirmação é somente verdadeira para as empresas privadas.
	Respondido em 01/04/2020 13:20:45
	
	
	 
	
	 4a Questão
	
	
	
	
	Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que as informações enviadas por ele ao banco e as enviadas do banco para ele são originais, ou seja, não foram alteradas durante a transmissão? Neste caso estamos falando de:
		
	 
	Integridade
	
	Não-repúdio
	
	Disponibilidade
	
	Confidencialidade
	
	Autenticação
	Respondido em 01/04/2020 13:20:49
	
	
	Gabarito
Coment.
	
	 
	
	 5a Questão
	
	
	
	
	A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para:
		
	
	A gestão da área comercial.
	
	A gestão de orçamento.
	
	A gestão do ciclo da informação interna.
	
	A gestão dos usuários.
	 
	A gestão dos negócios da organização .
	Respondido em 01/04/2020 13:20:54
	
	
	 
	
	 6a Questão
	
	
	
	
	Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança?
		
	
	Irrestrito.
	 
	Confidencial.
	
	Pública.
	
	Interna.
	
	Secreta.
	Respondido em 01/04/2020 13:21:06
	
	
	 
	
	 7a Questão
	
	
	
	
	VULNERABILIDADE DE SEGURANÇA O ciclo de vida da informação Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que está dialogando com seu banco e não com alguém que se faz passar por ele? Neste caso estamos falando de:Legalidade
	
	Confidencialidade
	 
	Autenticação
	
	Disponibilidade
	
	Não-repúdio
	Respondido em 01/04/2020 13:21:02
	
	
	 
	
	 8a Questão
	
	
	
	
	Ao elaborar e comunicar uma Política de Segurança da Informação é necessário:
 
I. Usar uma linguagem conhecida.
II. Usar meios adequados aos tipos de mensagens e usuários.
III. Adotar estilo simples e claro.
IV. Respeitar o interlocutor sem superestimá-lo nem subestimá-lo.
V. Respeitar a cultura organizacional e a do país a que se destina.
		
	 
	As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam.
	
	As alternativas I, II, IV e V estão corretas, mas a III está errada porque uma política deve ser construída considerando-se uma linguagem tecnológica independentemente dos tipos de usuários a que se destina.
	
	As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única, mesmo para uma multinacional, e as características humanas e legais do país na qual é aplicada não podem interferir na sua tradução.
	
	As alternativas I, II, III e V estão corretas, mas a IV está errada porque deve supor-se que todos os usuários foram selecionados pela empresa, portanto entendem a tecnologia usada.
	
	As alternativas I, III, IV e V estão corretas, mas a II está errada pois este é um item irrelevante no contexto da política de segurança.
	Respondido em 01/04/2020 13:21:18
	
	 1a Questão
	
	
	
	Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "engenheiros". Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo "engenheiros" acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à:
		
	
	Confidencialidade
	
	Integridade
	
	Auditoria
	
	Autenticidade
	 
	Disponibilidade
	Respondido em 01/04/2020 13:21:20
	
	
	Gabarito
Coment.
	
	
	Gabarito
Coment.
	
	 
	
	 2a Questão
	
	
	
	
	Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria compartilhe as informações confidenciais que possui. Neste caso estamos falando de vulnerabilidade do tipo:
		
	
	Mídia
	
	Física
	 
	Humana
	
	Natural
	
	Comunicação
	Respondido em 01/04/2020 13:21:35
	
	
	Gabarito
Coment.
	
	 
	
	 3a Questão
	
	
	
	
	Maio/2011 - A Sony sofre invasão de hackers com o vazamento de informações de mais de 100 milhões de usuários da rede online de games PlayStation Network. O ataque à base de dados de clientes se realizou desde um servidor de aplicações conectado com ela, e que está depois de um servidor site e dois firewalls. Segundo a companhia, os hackers encobriram o ataque como uma compra na plataforma online de Sony e depois de passar do servidor site, O ataque, que foi considerado um dos maiores, no sentido do vazamento de dados confidenciais, da história obrigou a Sony a reconstruir grande parte da sua rede, causado um prejuízo de 171 milhões de Dólares. A rede também ficou fora do ar por 28 dias, sendo que alguns serviços menos essenciais foram reestabelecidos primeiro e regionalmente antes do reestabelecimento total de todos os serviços. . Qual você acha que foi a vulnerabilidade para este ataque?
		
	
	Vulnerabilidade de Mídias
	
	Vulnerabilidade de Comunicação
	
	Vulnerabilidade Natural
	
	Vulnerabilidade Física
	 
	Vulnerabilidade de Software
	Respondido em 01/04/2020 13:21:40
	
	
	 
	
	 4a Questão
	
	
	
	
	A empresa de segurança cibernética IntelCrawler descobriu no dia 17 de janeiro de 2014 ao menos seis ataques em andamento contra varejistas nos Estados Unidos cujos sistemas de cartão de crédito estão infectados com o mesmo tipo de software malicioso usado para roubar dados de cerca de 40 milhões de cartões de crédito da rede Target. O software malicioso que foi usado para tal feito foi o BlackPOS. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso?
		
	
	Vulnerabilidade Natural.
	 
	Vulnerabilidade Software.
	
	Vulnerabilidade de Comunicação.
	
	Vulnerabilidade de Mídias.
	
	Vulnerabilidade Física.
	Respondido em 01/04/2020 13:21:36
	
	
	Gabarito
Coment.
	
	 
	
	 5a Questão
	
	
	
	
	
Observe a figura acima e complete corretamente a legenda dos desenhos:
 
		
	
	Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios
	
	Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios
	
	Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos
	 
	Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos
	
	Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios
	Respondido em 01/04/2020 13:21:44
	
	
	Gabarito
Coment.
	
	 
	
	 6a Questão
	
	
	
	
	Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas por ameaças, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir.
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. 
II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. 
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. 
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. 
Representam vulnerabilidades dos ativos de informação o que consta em:
		
	
	I, II, III e IV.
	
	II e III, somente.
	
	I, II e IV, somente.
	
	I e III, somente.
	 
	I, III e IV, somente.
	Respondido em 01/04/2020 13:22:00
	
	
	Gabarito
Coment.
	
	 
	
	 7a Questão
	
	
	
	
	Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade.
		
	
	Links sem contingência.
	
	Sistema operacional desatualizado.
	
	Rede elétrica instável.
	 
	Funcionário desonesto.
	
	Firewall mal configurado.
	Respondido em 01/04/2020 13:21:57
	
	
	Gabarito
Coment.
	
	 
	
	 8a Questão
	
	
	
	
	Analise o trecho abaixo:
"Além da falta de água nas torneiras, a crise hídrica começa agora a afetar também a distribuição de energia elétrica no país. Cidades de ao menos sete unidades federativas do Brasil e no Distrito Federal registraram cortes severos, na tarde desta segunda-feira." Jornal O DIA, em 19/01/2015.
Neste caso as empresas de Tecnologia que estão localizadas no município apresentam a vulnerabilidade do tipo:
		
	
	Física
	 
	Natural
	
	Comunicação
	
	Mídia
	
	Hardware
	
	 1a Questão
	
	
	
	
	As ameaças aproveitam das falhas de segurança da organização, que é considerado como ponto fraco, provocando possíveis danos, perdas e prejuízos aos negócios da empresa. Elas são constantes podendo acontecer a qualquer momento. Portanto é necessário conhecer profundamente qualquer tipo de vulnerabilidades para que não sejam comprometidos os princípios que se refere à segurança da informação. Quanto a sua intencionalidade elas podem ser classificadas como:
		
	
	Software, Hardware e Firmware.
	
	Humanas, Mídias e Comunicação.
	
	Físicas, Lógicas e Naturais.
	
	Comunicação, Físicas e Hardware.
	 
	Naturais, Involuntárias e voluntárias.
	Respondido em 01/04/2020 13:22:31
	
	
	Gabarito
Coment.
	
	 
	
	 2a Questão
	
	
	
	
	Podemos dizer que os controles que reduzem a probabilidade de umaameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas:
		
	
	Métodos Detectivos
	
	Métodos Quantitativos
	
	Medidas Corretivas e Reativas
	 
	Medidas Preventivas
	
	Medidas Perceptivas
	Respondido em 01/04/2020 13:22:43
	
	
	Gabarito
Coment.
	
	 
	
	 3a Questão
	
	
	
	
	Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II .
Coluna I 
1. Spyware 
2. Adware 
3. Engenharia Social 
4. Backdoor 
5. Phishing
Coluna II 
( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. 
( ) Software que insere propagandas em outros programas. 
( ) Brecha inserida pelo próprio programador de um sistema para uma invasão.
( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. 
( ) Programa espião. 
A sequencia correta é:
		
	
	5,1,4,3,2.
	
	3, 1, 5, 2, 4.
	
	3, 2, 4, 5, 1.
	
	3, 1, 4, 5, 2.
	 
	5, 2, 4, 3, 1.
	Respondido em 01/04/2020 13:22:50
	
	
	 
	
	 4a Questão
	
	
	
	
	As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua intencionalidade:
		
	
	Intencional, presencial e remota
	 
	Natural, voluntária e involuntária
	
	Natural, presencial e remota
	
	Intencional, proposital e natural
	
	Voluntária, involuntária e intencional
	Respondido em 01/04/2020 13:22:53
	
	
	Gabarito
Coment.
	
	 
	
	 5a Questão
	
	
	
	
	As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classificadas como:
		
	 
	Voluntárias
	
	Tecnológicas.
	
	Globalizadas
	
	Insconsequentes
	
	Destrutivas
	Respondido em 01/04/2020 13:23:00
	
	
	Gabarito
Coment.
	
	 
	
	 6a Questão
	
	
	
	
	Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo teclado do usuário e é enviado para o invasor ?
		
	
	Spyware
	
	Defacement
	 
	Keylogger
	
	Backdoor
	
	Phishing
	Respondido em 01/04/2020 13:23:15
	
	
	 
	
	 7a Questão
	
	
	
	
	Desde o aparecimento do primeiro spam, em 1994, a prática de enviar e-mails não solicitados tem sido aplicada com vários objetivos distintos e também utilizando diferentes aplicativos e meios de propagação na rede. Os tipos de spam identificados até o momento são: correntes, boatos, lendas urbanas, propagandas, ameaças, pornografia, códigos maliciosos, fraudes e golpes.
É muito importante que se saiba como identificar os spams, para poder detectá-los mais facilmente e agir adequadamente. Dentre as afirmativas abaixo marque aquelas que podemos assinalar como sendo as principais características dos spams:
I. Apresentam cabeçalho suspeito. 
II. Apresentam no campo Assunto palavras com grafia errada ou suspeita. 
III. Apresentam no campo Assunto textos alarmantes ou vagos. 
IV. Oferecem opção de remoção da lista de divulgação. 
V. Prometem que serão enviados "uma única vez. 
VI. Baseiam-se em leis e regulamentações inexistentes.
Estão corretas:
		
	
	II, IV e VI
	
	Nenhuma afirmativa está correta
	 
	Todas as afirmativas estão corretas
	
	I, III e V
	
	I, II, III, V e VI
	Respondido em 01/04/2020 13:23:12
	
	
	Gabarito
Coment.
	
	 
	
	 8a Questão
	
	
	
	
	Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso?
		
	
	Secreto
	 
	Ativo
	
	Passivo
	
	Forte
	
	Fraco
	
	 1a Questão
	
	
	
	
	A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de:
		
	
	Fragmentação de pacotes IP
	
	Smurf
	
	SQL injection
	
	Fraggle
	 
	Buffer Overflow
	Respondido em 01/04/2020 13:23:39
	
	
	 
	
	 2a Questão
	
	
	
	
	Pedro construiu um programa que permite que ele se conecte remotamente a um computador depois que o programa for instalado na máquina alvo. Neste caso podemos afirmar que Pedro construiu um:
		
	
	Screenlogger
	
	Keylogger
	
	Worm
	
	Trojan
	 
	Backdoor
	Respondido em 01/04/2020 13:23:46
	
	
	Gabarito
Coment.
	
	 
	
	 3a Questão
	
	
	
	
	Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão?
		
	 
	DDos
	
	SQL Injection
	
	Source Routing
	
	Shrink wrap code
	
	Phishing Scan
	Respondido em 01/04/2020 13:23:51
	
	
	 
	
	 4a Questão
	
	
	
	
	Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de
		
	 
	SQL Injection
	
	Fragmentação de Pacotes IP
	
	Fraggle
	
	Smurf
	
	Buffer Overflow
	Respondido em 01/04/2020 13:23:54
	
	
	Gabarito
Coment.
	
	
	Gabarito
Coment.
	
	 
	
	 5a Questão
	
	
	
	
	Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. O ataque que tem como objetivo a verificação do lixo em busca de informações que possam facilitar o ataque é denominado:
		
	
	SQL Injection
	 
	Dumpster diving ou trashing
	
	Ataque smurf
	
	IP Spoofing
	
	Packet Sniffing
	Respondido em 01/04/2020 13:24:00
	
	
	 
	
	 6a Questão
	
	
	
	
	Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir posteriormente o acesso à máquina invadida para o atacante ?
		
	
	Spam
	 
	Backdoor
	
	Rootkit
	
	Worm
	
	0Day
	Respondido em 01/04/2020 13:24:16
	
	
	 
	
	 7a Questão
	
	
	
	
	Qual o nome do ataque que tem como objetivo desfigurar a página de um site ?
		
	
	Backdoor
	 
	Defacement
	
	Spam
	
	Worm
	
	Disfiguration
	Respondido em 01/04/2020 13:24:21
	
	
	 
	
	 8a Questão
	
	
	
	
	Qual o nome do ataque que tem o intuito de enviar uma quantidade em "massa" de e-mails muitas das vezes indesejáveis ?
		
	
	Backdoor
	
	Adware
	
	Spyware
	 
	Spam
	
	Rootkit
	
	 1a Questão
	
	
	
	
	Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles (soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" na Análise e Avaliação dos Riscos:
		
	
	Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização.
	
	Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados.
	 
	A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco.O risco é representando em termos de possíveis perdas financeiras.
	
	Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita.
	
	Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivascomo alto, médio e baixo.
	Respondido em 01/04/2020 13:24:52
	
	
	Gabarito
Coment.
	
	 
	
	 2a Questão
	
	
	
	
	Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de obter informações pessoais de usuários de sites da Internet ou site corporativo ?
		
	
	Backdoor
	 
	Phishing
	
	Spyware
	
	Rootkit
	
	Defacement
	Respondido em 01/04/2020 13:24:48
	
	
	 
	
	 3a Questão
	
	
	
	
	Qual das opções abaixo não representa uma das etapas da Gestão de Risco:
		
	
	Selecionar, implementar e operar controles para tratar os riscos.
	
	Identificar e avaliar os riscos.
	
	Manter e melhorar os controles
	 
	Manter e melhorar os riscos identificados nos ativos
	
	Verificar e analisar criticamente os riscos.
	Respondido em 01/04/2020 13:24:52
	
	
	Gabarito
Coment.
	
	 
	
	 4a Questão
	
	
	
	
	Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento do risco, exceto:
		
	
	Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco.
	
	Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
	 
	Identificar os riscos de segurança presentes.
	
	Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.
	
	Aplicar controles apropriados para reduzir os riscos.
	Respondido em 01/04/2020 13:24:59
	
Explicação:
Identificar os riscos de segurança presentes.===> FALSO. Não só presentes como existentes em qualquer situação.
Aplicar controles apropriados para reduzir os riscos.===> VERDADE
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco.===> VERDADE
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.===> VERDADE
Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. ===> VERDADE
 
 
 
	
	
	 
	
	 5a Questão
	
	
	
	
	Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar":
		
	
	Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões.
	
	Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio.
	
	Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças.
	
	Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação.
	 
	Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco.
	Respondido em 01/04/2020 13:25:18
	
	
	Gabarito
Coment.
	
	 
	
	 6a Questão
	
	
	
	
	A segurança da informação deve ser vista como algo estratégico dentro da organização. E a organização deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da organização criar um plano de gestão voltado para riscos é criando um Plano de Gestão de Risco (PGI). O PGI é composto por 4 fases, quais são elas?
		
	
	Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco
	
	Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco
	 
	Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco
	
	Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; Comunicação do impacto
	
	Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; Mapeamento de impacto
	Respondido em 01/04/2020 13:25:39
	
	
	Gabarito
Coment.
	
	 
	
	 7a Questão
	
	
	
	
	Qual o nome do ataque que é muito utilizado em espionagem, onde esse é utilizado para obter informações confidenciais em lixos ?
		
	
	DoS
	
	Adware
	 
	Dumpster diving
	
	Backdoor
	
	Defacement
	Respondido em 01/04/2020 13:25:28
	
	
	Gabarito
Coment.
	
	 
	
	 8a Questão
	
	
	
	
	Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.
		
	 
	O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.
	
	As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos
	
	As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana.
	
	A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido.
	
	Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança.
	Respondido em 01/04/2020 13:25:34
	
Explicação:
O ativo que tem o maior risco de disponibilidade, ou seja, aquele que tem maior acessibilidade, por conseguinte é também aquele que tem a maior possibilidade de risco.
	 1a Questão
	
	
	
	Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes?
		
	
	Diretrizes.
	
	Relatório Estratégico.
	 
	Normas.
	
	Manuais.
	
	Procedimentos.
	Respondido em 01/04/2020 13:25:43
	
	
	Gabarito
Coment.
	
	 
	
	 2a Questão
	
	
	
	
	A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é
		
	
	O equipamento de comunicação
	
	O plano de continuidade do negócio.
	
	A base de dados e arquivos
	 
	A reputação da organização
	
	O serviço de iluminação
	Respondido em 01/04/2020 13:25:48
	
	
	 
	
	 3a Questão
	
	
	
	
	Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos:
		
	
	Prevenção, proteção e reação
	
	Autenticidade, originalidade e abrangência
	 
	Integridade, confidencialidade e disponibilidade
	
	Integridade, prevenção e proteção
	
	Flexibilidade, agilidade e conformidade
	Respondido em 01/04/2020 13:25:52
	
	
	 
	
	 4a Questão
	
	
	
	
	Um Firewall pode ser definido como uma coleção de componentes, colocada entre duas redes, que coletivamente possua propriedades que:
		
	
	independentemente da política de segurança adotada, tem como objetivo principal impedir a entrada de vírus em um computador, via arquivos anexados a e-mails.
	
	garantem que todo o tráfego de dentro para fora da rede e vice-versa deve ser bloqueado, independentemente da política de segurança adotada. Todo firewall deve ser à prova de violação.
	
	garantem que apenas o tráfego de fora para dentro da rede deve passar por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação.
	
	garantem que apenas o tráfego de dentro para fora da rede deve passar por ele. Somenteo tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação.
	 
	garantem que todo o tráfego de dentro para fora da rede, e vice-versa, passe por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação.
	Respondido em 01/04/2020 13:26:08
	
	
	 
	
	 5a Questão
	
	
	
	
	Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos?
		
	
	Manuais; Normas e Relatórios
	
	Manuais; Normas e Procedimentos
	
	Diretrizes; Manuais e Procedimentos
	
	Diretrizes; Normas e Relatórios
	 
	Diretrizes; Normas e Procedimentos
	Respondido em 01/04/2020 13:26:04
	
	
	 
	
	 6a Questão
	
	
	
	
	A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio:
		
	
	Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização.
	 
	É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
	
	São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender.
	
	A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos.
	
	Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação.
	Respondido em 01/04/2020 13:26:09
	
	
	Gabarito
Coment.
	
	 
	
	 7a Questão
	
	
	
	
	Marque a alternativa que NÃO representa uma alternativa a mitigação de risco:
		
	
	Prevenção de risco
	
	Limitação de risco
	
	Suposição de risco
	
	Transferência de risco
	 
	Aceitação de risco
	Respondido em 01/04/2020 13:26:25
	
	
	 
	
	 8a Questão
	
	
	
	
	De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve:
		
	 
	ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização.
	
	conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção.
	
	revelar informações sensíveis da organização.
	
	conter o registro dos incidentes de segurança da organização.
	
	apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos.
	
	 1a Questão
	
	
	
	
	Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir:
		
	
	A política do BIA.
	
	A politica de gestão de continuidade de negócio.
	 
	Identificar, Analisar e avaliar os riscos.
	
	A abordagem de análise/avaliação das vulnerabilidades da organização.
	
	Identificar e avaliar as opções para o tratamento das vulnerabilidades.
	Respondido em 01/04/2020 13:26:41
	
	
	 
	
	 2a Questão
	
	
	
	
	Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações?
		
	
	Administrativa, Física e Programada.
	
	Administrativa, Contábil e Física.
	
	Lógica, Física e Programada.
	 
	Administrativa, Física e Lógica.
	
	Lógica, Administrativa e Contábil.
	Respondido em 01/04/2020 13:26:37
	
	
	Gabarito
Coment.
	
	 
	
	 3a Questão
	
	
	
	
	No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um Problema de Segurança:
		
	
	Uma tempestade.
	
	Uma Operação Incorreta ou Erro do usuário.
	
	Uma inundação.
	
	A perda de qualquer aspecto de segurança importante para a organização.
	 
	Restrição Financeira.
	Respondido em 01/04/2020 13:26:53
	
	
	 
	
	 4a Questão
	
	
	
	
	A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
		
	
	Corretivas e Corrigidas
	
	Prevenção e Preventivas
	
	Corrigidas e Preventivas
	 
	Corretivas e Preventivas
	
	Corretivas e Correção
	Respondido em 01/04/2020 13:26:48
	
	
	 
	
	 5a Questão
	
	
	
	
	Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para:
		
	
	Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores.
	
	Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram.
	 
	Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 
	
	Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. 
	
	Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos.
	Respondido em 01/04/2020 13:26:50
	
	
	Gabarito
Coment.
	
	 
	
	 6a Questão
	
	
	
	
	Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação?
		
	
	Procedimentos elaborados.
	
	Suporte técnico.
	
	Auditoria.
	 
	Conscientização dos usuários.
	
	Segregação de funções.
	Respondido em 01/04/2020 13:27:06
	
	
	Gabarito
Coment.
	
	 
	
	 7a Questão
	
	
	
	
	Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização:
		
	
	Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI
	
	Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas
	
	Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco.
	 
	Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI
	
	Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação.
	Respondido em 01/04/2020 13:27:12
	
	
	Gabarito
Coment.
	
	 
	
	 8a Questão
	
	
	
	
	A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ?
		
	
	Correção
	 
	Desencorajamento
	
	Preventiva
	
	Limitação
	
	Reação
	Respondidoem 01/04/2020 13:27:08
	 1a Questão
	
	
	
	Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada?
		
	
	Tomar controle da situação
	 
	Afastar o incidente do cliente
	
	Controlar o incidente
	
	Confirmar a natureza e extensão do incidente
	
	Comunicar-se com as partes interessadas
	Respondido em 01/04/2020 13:27:21
	
	
	Gabarito
Coment.
	
	 
	
	 2a Questão
	
	
	
	
	Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)?
		
	
	O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação.
	 
	O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados.
	
	O PCN só pode ser implementado se o PRD já tiver em uso.
	
	O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-se na continuidade para todos os processos.
	
	O PRD é mais abrangente que o PCN.
	Respondido em 01/04/2020 13:27:43
	
	
	 
	
	 3a Questão
	
	
	
	
	O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"?
		
	
	A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
	
	Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.
	 
	Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
	
	O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações.
	
	A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
	Respondido em 01/04/2020 13:27:48
	
	
	Gabarito
Coment.
	
	 
	
	 4a Questão
	
	
	
	
	Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações.
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento:
		
	
	Testando, mantendo e analisando criticamente os preparativos de GCN.
	 
	Desenvolvendo e implementando uma resposta de GCN.
	
	Incluindo a GCN na cultura da organização.
	
	Entendendo a organização.
	
	Determinando a estratégia de continuidade de negócios.
	Respondido em 01/04/2020 13:27:55
	
	
	Gabarito
Coment.
	
	 
	
	 5a Questão
	
	
	
	
	Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre?
		
	
	Um ataque massivo pela internet.
	
	Uma catástrofe de grandes impactos.
	
	Um evento súbito, que ocorre de maneira inesperada.
	
	Eventos de ordem natural ou acidental, como terremotos e incêndios.
	 
	Um evento que causa uma parada nos processos da organização por um período de tempo maior do que ela considera aceitável.
	Respondido em 01/04/2020 13:28:00
	
	
	Gabarito
Coment.
	
	 
	
	 6a Questão
	
	
	
	
	BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios.
		
	
	Simples e Objetiva.
	
	Natural e Desordenada
	
	Clara e Intelegível
	 
	Qualitativa e Quantitativa
	
	Estatística e Ordenada
	Respondido em 01/04/2020 13:28:08
	
	
	 
	
	 7a Questão
	
	
	
	
	O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"?
		
	
	Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.
	 
	Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações.
	
	Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
	
	A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
	
	Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
	Respondido em 01/04/2020 13:28:18
	
	
	Gabarito
Coment.
	
	 
	
	 8a Questão
	
	
	
	
	Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que:
		
	
	As metas e objetivos definidos sejam comprometidos por interrupções inesperadas
	 
	As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas
	
	As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas
	
	As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas
	
	As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas
	
	 1a Questão
	
	
	
	
	Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança?
		
	
	na Zona Demilitarizada (DMZ) protegida
	
	na Zona Demilitarizada (DMZ) suja
	
	em uma subrede externa protegida por um proxy
	
	ligado diretamente no roteador de borda
	 
	na rede interna da organizaçãoRespondido em 01/04/2020 13:28:38
	
	
	Gabarito
Coment.
	
	 
	
	 2a Questão
	
	
	
	
	O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de:
		
	
	confirmar a identidade do usuário.
	
	controlar a expiração da sessão do usuário, caso o mesmo possua cookies desabilitados em seu navegador.
	
	criptografar os dados enviados através do formulário para impedir que os mesmos sejam interceptados em curso.
	
	testar a aptidão visual do usuário para decidir sobre a folha de estilo CSS a ser utilizada nas páginas subseqüentes.
	 
	confirmar que o formulário está sendo preenchido por um usuário humano e não por um computador.
	Respondido em 01/04/2020 13:28:41
	
	
	 
	
	 3a Questão
	
	
	
	
	Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar:
		
	 
	Um detector de intrusão para realizar a análise do tráfego da rede
	
	Um analisador de protocolo para auxiliar na análise do tráfego da rede
	
	Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall
	
	Um sniffer de rede, para analisar o tráfego da rede
	
	Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede
	Respondido em 01/04/2020 13:28:46
	
	
	 
	
	 4a Questão
	
	
	
	
	Em relação a firewalls, analise as assertivas abaixo: 
I.Firewalls em estado de conexão mapeiam pacotes e usam campos cabeçalhos TCP/IP para cuidar da conectividade. 
II.Firewalls podem implementar gateways em nível de aplicação que examinam os pacotes por dentro, além do cabeçalho TCP/IP, para ver o que a aplicação está fazendo. 
III. Um problema fundamental com firewalls é que eles oferecem um único perímetro de defesa, o qual, se rompido, deixará comprometida toda a segurança. 
É correto o que se afirma em :
		
	
	III, apenas
	
	I, apenas
	 
	I, II e III
	
	I e II, apenas
	
	II, apenas
	Respondido em 01/04/2020 13:28:37
	
	
	 
	
	 5a Questão
	
	
	
	
	Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar a conexão ou não a um serviço em uma rede modo indireto ?
		
	
	Firewall Indireto
	
	Firewall de Borda
	
	Firewall com Estado
	 
	Firewall Proxy
	
	Filtro com Pacotes
	Respondido em 01/04/2020 13:28:52
	
	
	 
	
	 6a Questão
	
	
	
	
	Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida:
		
	
	A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos.
	 
	A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos.
	Respondido em 01/04/2020 13:28:47
	
	
	Gabarito
Coment.
	
	 
	
	 7a Questão
	
	
	
	
	Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar:
		
	
	Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede
	 
	Um detector de intrusão para realizar a análise do tráfego da rede
	
	Um analisador de espectro de rede, para analisar o tráfego da rede
	
	Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall
	
	Um firewall para auxiliar na análise do tráfego da rede
	Respondido em 01/04/2020 13:28:52
	
	
	Gabarito
Coment.
	
	 
	
	 8a Questão
	
	
	
	
	Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e a internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados.
		
	
	Spyware.
	
	Antivírus.
	 
	Firewall.
	
	Adware.
	
	Mailing.