Baixe o app para aproveitar ainda mais
Prévia do material em texto
1a Questão (Ref.:202006405499) Acerto: 1,0 / 1,0 Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas: I-A informação de uma empresa na maioria das vezes pode ser pública, para que prejudique o funcionamento, integridade, estratégias e tomadas de decisões da empresa. II-A informação torna-se um dos ativos mais importantes e valiosos dentro de uma organização, pois são cruciais para a eficácia das estratégias de uma empresa. III-A informação é primordial para realizar com eficácia todos os processos de uma empresa, sendo assim um elemento que pode conduzir a empresa ao sucesso ou ao fracasso caso essas informações não estejam corretas Somente III Somente I e III I, II e III Somente I Somente II e III Respondido em 16/04/2020 13:40:05 2a Questão (Ref.:202003233363) Acerto: 1,0 / 1,0 Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade¿. Esta afirmação é: verdadeira, pois a classificação da informação pode ser sempre reavaliada. falsa, pois não existe alteração de nível de segurança de informação. verdadeira desde que seja considerada que todas as informações são publicas. falsa, pois a informação não deve ser avaliada pela sua disponibilidade. verdadeira se considerarmos que o nível não deve ser mudado. Respondido em 16/04/2020 13:41:37 3a Questão (Ref.:202003399773) Acerto: 1,0 / 1,0 As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware: Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Respondido em 16/04/2020 13:43:08 Gabarito Coment. 4a Questão (Ref.:202003740265) Acerto: 1,0 / 1,0 Desde o aparecimento do primeiro spam, em 1994, a prática de enviar e-mails não solicitados tem sido aplicada com vários objetivos distintos e também utilizando diferentes aplicativos e meios de propagação na rede. Os tipos de spam identificados até o momento são: correntes, boatos, lendas urbanas, propagandas, ameaças, pornografia, códigos maliciosos, fraudes e golpes. É muito importante que se saiba como identificar os spams, para poder detectá-los mais facilmente e agir adequadamente. Dentre as afirmativas abaixo marque aquelas que podemos assinalar como sendo as principais características dos spams: I. Apresentam cabeçalho suspeito. II. Apresentam no campo Assunto palavras com grafia errada ou suspeita. III. Apresentam no campo Assunto textos alarmantes ou vagos. IV. Oferecem opção de remoção da lista de divulgação. V. Prometem que serão enviados "uma única vez. VI. Baseiam-se em leis e regulamentações inexistentes. Estão corretas: Todas as afirmativas estão corretas Nenhuma afirmativa está correta I, III e V II, IV e VI I, II, III, V e VI Respondido em 16/04/2020 13:45:53 Gabarito Coment. 5a Questão (Ref.:202006415043) Acerto: 1,0 / 1,0 Em relação as afirmativas abaixo assinale apenas a opção que contenha apenas as afirmações VERDADEIRAS: I-Phishing é um tipo de fraude em que o atacante obtém informações privativas de uma pessoa. Essas informações podem ser números de cartão de crédito, senhas, números da conta bancaria, etc. II- Phishing é um tipo de ataque que tem como objetivo adquirir identidades através de e-mails ou mensagens instantâneas. III-Phreaking é um expressão utilizada pra denominar um grupo de pessoas que pesquisam e exploram equipamentos dos sistemas de telefonia e sistemas conectados à rede pública de telefone. Apenas I Apenas III I, II e III Apenas I e II Apenas II e III Respondido em 16/04/2020 13:48:38 6a Questão (Ref.:202003230206) Acerto: 1,0 / 1,0 Você trabalha na área de gestão de risco da sua organização. Após a fase de análise de risco, você irá realizar a etapa de tratamento de risco através da implementação de controles que irão reduzir a probabilidade de ameaças se concretizarem , assim como a diminuição do grau de vulnerabilidade do ambiente de produção. Neste caso a medida de proteção implementada foi: Medidas preventivas Medidas corretivas Métodos detectivos Medidas de controles Medidas reativas Respondido em 16/04/2020 13:50:12 7a Questão (Ref.:202006415060) Acerto: 1,0 / 1,0 O grande objetivo da norma NBR ISO/IEC 27002 é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa. Analise as afirmativas abaixo: I-A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos. II-A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização. III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de gestão de segurança. Assinale a opção que contenha apenas afirmações corretas: I, II e III Apenas III Apenas I Apenas I e II Apenas I e III Respondido em 16/04/2020 13:58:21 8a Questão (Ref.:202003317873) Acerto: 1,0 / 1,0 A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise: A avaliação dos riscos e incidentes desejados Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores A avaliação das ações preventivas e corretivas A realimentação por parte dos envolvidos no SGSI Os resultados das auditorias anteriores e análises críticas Respondido em 16/04/2020 13:59:02 Gabarito Coment. 9a Questão (Ref.:202003740325) Acerto: 1,0 / 1,0 De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de continuidade do negócio (GCN). GCN é uma abordagem alternativa à gestão de riscos de segurança da informação. A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a incidentes, de continuidade e de comunicação. A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de interrupção das atividades críticas da organização. A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou) atividades críticas e recursos de suporte de uma organização. GCN é a fase inicial da implantação da gestão de continuidade em uma organização. Respondido em 16/04/2020 13:59:56 Gabarito Coment. 10a Questão (Ref.:202003437111) Acerto: 1,0 / 1,0 Uma empresa teve a sua sala de servidores incendiadas e com isso perdeu todos os dados importantes para a empresa, mas ela estava preparada para a continuidade dosnegócios, o que você acha que foi importante para a recuperação destes dados: Eles dispunham de uma DMZ que são pequenas redes que geralmente contém serviços públicos que são conectados diretamente ao firewall ou a outro dispositivo de filtragem e que recebem a proteção deste dispositivo. Eles tinham um IDS que tem como principal objetivo reconhecer um comportamento ou uma ação intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede. Havia uma VPN interligando várias Intranets através da Internet. Na empresa haviam Backups ou cópias de segurança que são itens muito importantes na administração de sistemas devendo fazer parte da rotina de operação dos sistemas da organização, através de uma política pré-determinada. A empresa possuía um FIREWALL que isolam a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e outros não, prevenindo ataques de negação de serviço ou modificações e acessos ilegais aos dados internos. Respondido em 16/04/2020 14:00:22 1a Questão (Ref.:202003233327) Acerto: 1,0 / 1,0 Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da Informação: Tudo aquilo que não manipula dados. Tudo aquilo que tem valor para a organização. Tudo aquilo que a empresa usa como inventario contábil. Tudo aquilo que não possui valor específico. Tudo aquilo que é utilizado no Balanço Patrimonial. Respondido em 16/04/2020 15:19:56 2a Questão (Ref.:202003233370) Acerto: 0,0 / 1,0 Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para as organizações quando tratamos de Segurança da Informação? Valor de propriedade. Valor de orçamento. Valor de uso. Valor de restrição. Valor de troca. Respondido em 16/04/2020 15:24:22 Gabarito Coment. 3a Questão (Ref.:202003877300) Acerto: 0,0 / 1,0 Em relação às vulnerabilidades de protocolos e aplicações de acesso remotos, assinale a afirmativa correta: Bots são softwares maliciosos e autônomos que se conectam por meio de um componente ICQ. Normalmente, o software usado para gerenciamento destes canais é modifi cado de forma que sirvam a mais bots e que não revelem a quantidade de bots associados. Kerberos e SSH (Secure Shell) são soluções para autenticação remota com uso de criptografia, eliminando os problemas de soluções tais como o Telnet. É aconselhável colocar servidores de Terminal (Terminal Servers) fora da DMZ (De-Militarized Zone) para proteger a rede interna da organização. O Telnet é um padrão para acesso a terminais na Internet, que provê segurança por meio da autenticação de usuários, além de manter uma conexão com tráfego criptografado. Utilizando ferramentas específicas, é possível explorar a possibilidade de enviar mensagens anônimas a partir do IRC, gerando uma espécie de spoofing de mensagens, se o endereço IP e a porta IRC da vítima forem conhecidos. Respondido em 16/04/2020 15:25:32 Gabarito Coment. 4a Questão (Ref.:202003230607) Acerto: 1,0 / 1,0 Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça¿. Podemos dizer que é: falsa, pois não depende do ativo afetado. parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. falsa, pois os impactos são sempre iguais para ameaças diferentes. verdadeira falsa, pois não devemos considerar que diferentes ameaças existem . Respondido em 16/04/2020 15:26:26 5a Questão (Ref.:202003747918) Acerto: 1,0 / 1,0 Na categoria de software malicioso (malware), assinale a alternativa que identifica uma ameaça que consiste no envio de uma mensagem não-solicitada, que procura induzir o destinatário a fornecer dados pessoais ou financeiros, tais como senhas, número do CPF e número da conta-corrente. Vírus de boot Hoaxes (boatos) Phishing Cavalo de troia Keylogger (espião de teclado) Respondido em 16/04/2020 15:29:09 Gabarito Coment. 6a Questão (Ref.:202006538908) Acerto: 1,0 / 1,0 O ciclo de vida do negócio, tendo em vista os aspectos de tecnologia, depende de um bom entendimento do processo de Gerenciamento de Riscos do Negócio. O estágio de ¿análise de requisitos e definição de estratégias¿ é responsável por definir como a organização reagirá a uma interrupção do negócio ou desastre e os custos associados. Esse estágio tem processos de avaliação de risco e análise de impacto no negócio, comuns do ciclo contínuo de gerenciamento de riscos. Portanto, o gerenciamento de riscos é um processo que tem como objetivo dar subsídios à organização para realizar sua missão institucional, de forma a: I. Possibilitar a segurança efetiva dos sistemas de Tecnologias de Informação e Comunicação, responsáveis pelo processamento, armazenagem e transmissão de dados; II. Criar uma base sólida para as tomadas de decisão, principalmente no que se relaciona com execução coerente do orçamento e no investimento em tecnologias necessárias para minimizar riscos de impacto ou potencial impacto para o negócio; III. Impossibilitar os gestores de equilibrarem seus custos de proteção e desempenho dos sistemas de informação vitais para o negócio. Após a leitura, assinale a alternativa correta. Somente as afirmações I e II estão corretas Somente as afirmações I e III estão corretas Somente a II está correta Somente a III está correta Somente a I está correta Respondido em 16/04/2020 15:31:08 7a Questão (Ref.:202003230223) Acerto: 1,0 / 1,0 Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes? Diretrizes. Normas. Relatório Estratégico. Procedimentos. Manuais. Respondido em 16/04/2020 15:31:39 Gabarito Coment. 8a Questão (Ref.:202003437114) Acerto: 0,0 / 1,0 A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. Respondido em 16/04/2020 15:33:04 Gabarito Coment. 9a Questão (Ref.:202003747904) Acerto: 1,0/ 1,0 Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)? O PCN só pode ser implementado se o PRD já tiver em uso. O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-se na continuidade para todos os processos. O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação. O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados. O PRD é mais abrangente que o PCN. Respondido em 16/04/2020 15:33:35 10a Questão (Ref.:202003310901) Acerto: 1,0 / 1,0 Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INCORRETA : A Chave Publica não pode ser divulgada livremente, somente a Chave Privada A Chave Publica pode ser divulgada livremente A Chave Privada deve ser mantida em segredo pelo seu Dono Chave Publica e Privada são utilizadas por algoritmos assimétricos Cada pessoa ou entidade mantém duas chaves Respondido em 16/04/2020 15:34:18 1a Questão (Ref.:202006290833) Acerto: 0,0 / 1,0 As informações devem cumprir alguns requisitos, dentre os quais: I. Autenticação: refere-se a proteger a informação de ser lida ou copiada por qualquer um que não está explicitamente autorizado pelo proprietário da informação II. Confidencialidade: irá definir que as partes envolvidas na comunicação sejam autenticadas, a fim de garantir que cada uma delas seja realmente quem diz ser III. Consistência: assegura que o sistema comporta-se como esperado pelos usuários autorizados. Se o software ou hardware repentinamente começa a se comportar de maneira radicalmente diferente daquele que se costuma comportar, especialmente após uma atualização ou a reparação de um erro, pode ocorrer um "desastre" IV. Disponibilidade: irá definir que as informações devidas estarão disponíveis para seus respectivos usuários. Aqui cabe uma ressalva: para garantir esta disponibilidade da informação somente para o usuário devido, deve-se implementar controles de acesso, a fim de conter usuários não autorizados Após a leitura das asserções, assinale a alternativa correta. Somente as asserções I e II estão corretas Somente as asserções I, II e IV estão corretas Somente as asserções II, III e IV estão corretas Somente as asserções I, II e III estão corretas Somente as asserções III e IV estão corretas Respondido em 16/04/2020 15:43:55 2a Questão (Ref.:202006405562) Acerto: 1,0 / 1,0 As ameaças são os principais perigos a que uma empresa está́ susceptível. Essas ameaças podem ser classificadas em: · Ameaças intencionais · Ameaças relacionadas aos equipamentos · Ameaças relativas a um evento natural · Ameaças não intencionais Em relação as ameaças não internacionais, podemos afirmar: são os perigos trazidos pela falta de conhecimento. Por exemplo, um usuário ou administrador de sistema que não tenha recebido treinamento adequado, que não tenha lido a documentação, ou que não tenha entendido a importância do cumprimento das regras de segurança estabelecidas pela organização. A maior parte dos danos causados no sistema surge pela ignorância de usuários ou administradores e não por ações maliciosas. Esse grupo de ameaças incluem todos os equipamentos ou instalações físicas de uma empresa, que podem estar sujeitos a fogo, inundações, quedas de energia. É possível minimizar as chances de que o dano seja severo e também fazer um planejamento para a recuperação após a ocorrência de um desastre de ordem natural. Quando um equipamento apresenta falhas de hardware ou mesmo de software, seja por defeito ou mesmo por bugs. Colaboradores especializados podem induzir falhas aos sistemas por eles administrados. Nenhuma das opções acima São as ameaças divulgadas pela mídia e nas quais os produtos de segurança podem atuar melhor. Podem ser do tipo agentes internos ou externos. Em que agentes externos podem ter acesso ao sistema de várias formas. Apesar do foco dos dispositivos de segurança normalmente ser o agente do tipo externo, a maior parte dos problemas de segurança é provocada por agentes do tipo internos. Respondido em 16/04/2020 15:47:56 3a Questão (Ref.:202003747896) Acerto: 1,0 / 1,0 O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? Risco Vulnerabilidade Problema Dependência Ameaça Respondido em 16/04/2020 15:48:29 Gabarito Coment. 4a Questão (Ref.:202003762799) Acerto: 1,0 / 1,0 Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo teclado do usuário e é enviado para o invasor ? Defacement Keylogger Backdoor Phishing Spyware Respondido em 16/04/2020 15:50:09 5a Questão (Ref.:202003230181) Acerto: 0,0 / 1,0 Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque? Levantamento das Informações Exploração das Informações Obtenção de Acesso Divulgação do Ataque Camuflagem das Evidências Respondido em 16/04/2020 15:54:56 6a Questão (Ref.:202003230203) Acerto: 1,0 / 1,0 Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infra-estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de alarmes. Neste caso que tipo de barreira você está implementando? Deter Dificultar Discriminar Detectar Desencorajar Respondido em 16/04/2020 15:56:19 7a Questão (Ref.:202003740286) Acerto: 0,0 / 1,0 Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 1) Comitê de segurança da informação. 2) Controle. 3) Funções de software e hardware. 4) Deve ser analisado criticamente. 5) Política. ( ) Controle. ( ) Firewall. ( ) estrutura organizacional. ( ) Permissão de acesso a um servidor. ( ) Ampla divulgação das normas de segurança da informação. A combinação correta entre as duas colunas é: 4-3-1-2-5. 4-3-5-2-1. 1-2-4-3-5. 5-1-4-3-2. 2-3-1-5-4. Respondido em 16/04/2020 15:57:39 Gabarito Coment. 8a Questão (Ref.:202006415086) Acerto: 1,0 / 1,0 Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as empresas. Qual do beneficios abaixo são promovidos? I-Demonstração e garantia de que os requisitos de governança corporativa e de continuidade do negócio estejam sendo atendidos. II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos; III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, será possível que os documentos dos processos de segurança da informação sejam formalizados. Assinale a opção que contenha apenas afirmações corretas: Apenas I I, II e III Apenas I e III Apenas II e III Apenas III Respondido em 16/04/2020 15:59:34 9a Questão (Ref.:202003416437) Acerto: 1,0 / 1,0 Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem implementar para a identificação das atividades críticas e que serão utilizadaspara o perfeito dimensionamento das demais fases de elaboração do plano de continuidade ? Classificação da informação Análise de impacto dos negócios (BIA) Análise de risco Auditoria interna Análise de vulnerabilidade Respondido em 16/04/2020 16:01:26 Gabarito Coment. 10a Questão (Ref.:202003912001) Acerto: 0,0 / 1,0 Em relação a firewalls, analise as assertivas abaixo: I.Firewalls em estado de conexão mapeiam pacotes e usam campos cabeçalhos TCP/IP para cuidar da conectividade. II.Firewalls podem implementar gateways em nível de aplicação que examinam os pacotes por dentro, além do cabeçalho TCP/IP, para ver o que a aplicação está fazendo. III. Um problema fundamental com firewalls é que eles oferecem um único perímetro de defesa, o qual, se rompido, deixará comprometida toda a segurança. É correto o que se afirma em : I, II e III I e II, apenas I, apenas II, apenas III, apenas Respondido em 16/04/2020 16:01:59
Compartilhar