Gestão de Risco e Segurança da Informação

Prévia do material em texto

1a Questão 
 
Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as 
medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é 
eliminada. Neste caso estamos nos referindo a que tipo de risco: 
 
 
Risco verdadeiro; 
 Risco residual; 
 
Risco tratado; 
 
Risco real; 
 
Risco percebido; 
Respondido em 05/05/2020 12:39:53 
 
 
 
 2a Questão 
 
Você trabalha na área de gestão de risco da sua organização. Após a fase de análise de risco, você irá 
realizar a etapa de tratamento de risco através da implementação de controles que irão reduzir a 
probabilidade de ameaças se concretizarem , assim como a diminuição do grau de vulnerabilidade do 
ambiente de produção. Neste caso a medida de proteção implementada foi: 
 
 
Medidas corretivas 
 
Medidas de controles 
 Medidas preventivas 
 
Medidas reativas 
 
Métodos detectivos 
Respondido em 05/05/2020 12:40:27 
 
 
 3a Questão 
 
Em relaçãoà analise de risco, analise as afirmativas abaixo: 
I-Essa análise não é de grande relevância para que as organizações decidam quais os 
riscos exigirão maior atenção e investimentosuos. 
II-Uma organização não gastará tempo e investimentos para solucionar riscos que 
possuem uma chance pequena de ocorrer ou que provocará danos mínimos a 
organização. 
III-Após a coleta das informações e da inserção no registrador de riscos, a próxima etapa 
será realizar a análise e identificação dos riscos com a finalidade de classificá-los. 
 
Assinale apenas a opção com afirmações corretas: 
 
 
Apenas I e II 
 Apenas II e III 
 
I, II e III 
 
Apenas I 
 
Apenas III 
Respondido em 05/05/2020 12:40:34 
 
 
Explicação: 
A afirmativa I é falsa 
 
 
 4a Questão 
 
Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra um 
determinado risco está muito além das possibilidades da organização e portanto não vale a pena tratá-lo. 
Neste caso você: 
 
 
Comunica o risco 
 Aceita o risco 
 
Trata o risco a qualquer custo 
 
Rejeita o risco 
 
Ignora o risco 
Respondido em 05/05/2020 12:40:29 
 
 
 5a Questão 
 
Em relação aos riscos que as empresas estão susceptíveis, analise as afirmações abaixo: 
I-A ameaça pode ser conceituada como algo que tenha potencial a ser violado em uma determinada 
circunstância, ação ou evento. 
II-A multiplicação de uma probabilidade de uma ameaça e a de uma vulnerabilidade produz o risco daquele 
evento específico 
III-Podemos definir vulnerabilidade como sendo os pontos fracos que podem ser explorados pelas ameaças 
existentes 
 
Assinale apenas a opção com afirmações corretas: 
 
 
Apenas I 
 
Apenas I e III 
 I, II e III 
 
Apenas III 
 
Apenas II 
Respondido em 05/05/2020 12:40:49 
 
 
Explicação: 
Todas estão corretas 
 
 
 6a Questão 
 
Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta especificamente um dos 
três elementos da tríade da segurança da informação. Qual é o ataque ? 
 
 
Backdoor 
 DoS/DDoS 
 
Adware 
 
Spyware 
 
0day 
1a Questão 
 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de Banco 
de Dados, pretende instalar dispositivos de autenticação de acesso físico, que será implementado através 
de dispositivo biométrico. Neste caso que tipo de barreira você está implementando? 
 
 
Desencorajar 
 
Discriminar 
 
Detectar 
 Dificultar 
 
Deter 
Respondido em 05/05/2020 12:42:25 
 
 
 2a Questão 
 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de 
acordo com a ABNT NBR ISO/IEC 27005. 
 
 
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de 
incidentes de segurança. 
 
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente 
estabelecido. 
 
As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de 
riscos 
 O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
 
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de 
origem humana. 
Respondido em 05/05/2020 12:42:43 
 
 
Explicação: 
O ativo que tem o maior risco de disponibilidade, ou seja, aquele que tem maior acessibilidade, por 
conseguinte é também aquele que tem a maior possibilidade de risco. 
 
 
 3a Questão 
 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são 
utilizados termos numéricos para os componentes associados ao risco. 
 
 
Método Numérico. 
 
Método Qualitativo 
 Método Quantitativo 
 
Método Classificatório 
 
Método Exploratório. 
Respondido em 05/05/2020 12:43:06 
 
 
 4a Questão 
 
A gestão da continuidade do negócio está associada, a não permitir a interrupção das atividades do negócio 
e proteger os processos críticos contra efeitos de falhas ou desastres significativos. 
Analise: 
I. Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo com os 
requisitos regulamentares, estatutários, contratuais e do negócio; 
II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a 
assegurar sua permanente atualização e efetividade; 
III. Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para a 
proteção da informação. 
IV. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à 
probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação; 
Quanto aos controles relacionados à gestão da continuidade do negócio, marque a opção correta: 
 
 
I e III, somente 
 II e IV, somente 
 
I, II e IV, somente 
 
I, II e III, somente 
 
I e II, somente 
Respondido em 05/05/2020 12:43:16 
 
 
Explicação: 
. 
 
 
 5a Questão 
 
Em relação à avaliação de riscos, analise as afirmações abaixo: 
I-A primeira etapa do processo será de avaliar e dimensionar os riscos. 
II-Essa avaliação possui como foco determinar a extensão dos potenciais de ameaças e 
quais são os riscos associados. 
III-O resultado dessa análise não promoverá viabilidade a gestão de riscos e assim será 
possível identificar maneiras para controlar e/ou minimizar os riscos. 
 
Assinale apenas a opção com afirmações corretas: 
 
 
Apenas I e III 
 
Apenas III 
 
I , II e III 
 
Apenas II e III 
 Apenas I e II 
Respondido em 05/05/2020 12:43:08 
 
 
 
1a Questão 
 
Qual das opções abaixo descreve melhor o conceito de "Risco" quando relacionado com a Segurança da 
Informação: 
 
 
Probabilidade de um ativo explorar uma ameaça. 
 
Probabilidade de um incidente ocorrer mais vezes. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade 
 
Probabilidade de uma ameaça explorar um incidente. 
 
Probabilidade de um ativo explorar uma vulnerabilidade 
Respondido em 05/05/2020 12:45:22 
 
 
 
 2a Questão 
 
Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: 
 
 
Melhorar a efetividade das decisões para controlar os riscos 
 Eliminar os riscos completamente e não precisar mais tratá-los 
 
Entender os riscos associados ao negócio e a gestão da informação 
 
Manter a reputação e imagem da organização 
 
Melhorar a eficácia no controle de riscos 
Respondido em 05/05/2020 12:45:50 
 
Gabarito 
Coment. 
 
 
 
 3a Questão 
 
É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o 
processo em geral e a definição do contexto em particular. Qual das opções abaixo Não representa um 
destes propósitos? 
 
 
Conformidade Legal e a evidência da realização dos procedimentos corretos 
 Preparação de um plano para aceitar todos os Riscos 
 
Descrição dos requisitos de segurançada informação para um produto. 
 
Preparação de um plano de continuidade de negócios. 
 
Preparação de um plano de respostas a incidentes. 
Respondido em 05/05/2020 12:46:04 
 
 
Gabarito 
Coment. 
 
 
 
 4a Questão 
 
Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no momento da descoberta ? 
 
 
Backdoor 
 0day 
 
Rootkit 
 
Adware 
 
Spam 
Respondido em 05/05/2020 12:46:29 
 
 
 5a Questão 
 
Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da 
Informação: 
 
 
Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. 
 
Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos 
 
Tudo aquilo que tem origem para causar algum tipo de erro nos ativos 
 
Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos 
 Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos 
Respondido em 05/05/2020 12:46:56 
 
 
 6a Questão 
 
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira 
corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma 
combinação de ambas. Neste sentido podemos definir a barreira "Detectar": 
 
 
Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de 
segurança da informação. 
 
Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as 
ameaças. 
 Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e 
instrumentem os gestores da segurança na detecção de situações de risco. 
 
Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os 
acessos, definindo perfis e autorizando permissões. 
 
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o 
negócio. 
Respondido em 05/05/2020 12:48:07 
 
 
Gabarito 
Coment. 
 
 
 
 7a Questão 
 
Qual das opções abaixo representa o tipo de ação quando observamos que o custo de proteção contra um 
determinado risco não vale a pena ser aplicado: 
 
 Aceitação do Risco 
 
Comunicação do Risco 
 
Monitoramento do Risco 
 
Garantia do Risco 
 
Recusar o Risco 
Respondido em 05/05/2020 12:48:53 
 
 
 
 8a Questão 
 
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira 
corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma 
combinação de ambas. Neste sentido podemos definir a barreira "Deter": 
 
 Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o 
negócio. 
 
Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os 
acessos, definindo perfis e autorizando permissões. 
 
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e 
instrumentem os gestores da segurança na detecção de situações de risco. 
 
Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de 
segurança da informação. 
 
Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as 
ameaças. 
Respondido em 05/05/2020 12:49:02 
 
 
1a Questão 
 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são 
utilizados termos numéricos para os componentes associados ao risco. 
 
 
Método Numérico. 
 
Método Classificatório 
 
Método Qualitativo 
 
Método Exploratório. 
 Método Quantitativo 
Respondido em 05/05/2020 12:49:59 
 
 
 
 2a Questão 
 
Em relação à avaliação de riscos, analise as afirmações abaixo: 
I-A primeira etapa do processo será de avaliar e dimensionar os riscos. 
II-Essa avaliação possui como foco determinar a extensão dos potenciais de ameaças e 
quais são os riscos associados. 
III-O resultado dessa análise não promoverá viabilidade a gestão de riscos e assim será 
possível identificar maneiras para controlar e/ou minimizar os riscos. 
 
Assinale apenas a opção com afirmações corretas: 
 
 
Apenas I e III 
 
I , II e III 
 Apenas I e II 
 
Apenas III 
 
Apenas II e III 
Respondido em 05/05/2020 12:50:06 
 
 
Explicação: 
o certo será: 
III-O resultado dessa análise promoverá viabilidade a gestão de riscos e assim será possível identificar 
maneiras para controlar e/ou minimizar os riscos. 
 
 
 3a Questão 
 
Referente ao processo de Gestão de incidentes, qual é a sequência na ordem que compõem o processo de 
gestão de incidentes ? 
 
 
Ameaça, impacto, incidente e recuperação 
 
Incidente, recuperação, impacto e ameaça 
 Ameaça, incidente, impacto e recuperação 
 
Impacto, ameaça, incidente e recuperação 
 
Incidente, impacto, ameaça e recuperação 
Respondido em 05/05/2020 12:50:10 
 
 
Gabarito 
Coment. 
 
 
 
 4a Questão 
 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de 
acordo com a ABNT NBR ISO/IEC 27005. 
 
 
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de 
incidentes de segurança. 
 
As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de 
riscos 
 O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
 
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de 
origem humana. 
 
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente 
estabelecido. 
Respondido em 05/05/2020 12:50:43 
 
 
Explicação: 
O ativo que tem o maior risco de disponibilidade, ou seja, aquele que tem maior acessibilidade, por 
conseguinte é também aquele que tem a maior possibilidade de risco. 
 
 
 5a Questão 
 
O ciclo de vida do negócio, tendo em vista os aspectos de tecnologia, depende de um bom entendimento do 
processo de Gerenciamento de Riscos do Negócio. O estágio de ¿análise de requisitos e definição de 
estratégias¿ é responsável por definir como a organização reagirá a uma interrupção do negócio ou desastre 
e os custos associados. Esse estágio tem processos de avaliação de risco e análise de impacto no negócio, 
comuns do ciclo contínuo de gerenciamento de riscos. Portanto, o gerenciamento de riscos é um processo 
que tem como objetivo dar subsídios à organização para realizar sua missão institucional, de forma a: 
I. Possibilitar a segurança efetiva dos sistemas de Tecnologias de Informação e Comunicação, responsáveis 
pelo processamento, armazenagem e transmissão de dados; 
II. Criar uma base sólida para as tomadas de decisão, principalmente no que se relaciona com execução 
coerente do orçamento e no investimento em tecnologias necessárias para minimizar riscos de impacto ou 
potencial impacto para o negócio; 
III. Impossibilitar os gestores de equilibrarem seus custos de proteção e desempenho dos sistemas de 
informação vitais para o negócio. 
Após a leitura, assinale a alternativa correta. 
 
 
Somente as afirmações I e III estão corretas 
 
Somente a III está correta 
 
Somente a II está correta 
 
Somente a I está correta 
 Somente as afirmações I e II estão corretas 
Respondido em 05/05/2020 12:50:39 
 
 
Explicação: 
O ciclo de vida do negócio, tendo em vista os aspectos de tecnologia, depende de um bom entendimento 
do processo de Gerenciamento de Riscos do Negócio. O estágio de ¿análise de requisitos e definição de 
estratégias¿ é responsável por definir como a organização reagirá a uma interrupção do negócio ou 
desastre e os custos associados. Esse estágio tem processos de avaliação de risco e análise de impacto no 
negócio, comuns do ciclo contínuo de gerenciamento de riscos. Portanto, o gerenciamento de riscos é um 
processo que tem como objetivo dar subsídios à organização para realizar sua missão institucional, de 
forma a:- Possibilitar a segurança efetiva dos sistemas de Tecnologias de Informação e Comunicação, responsáveis 
pelo processamento, armazenagem e transmissão de dados; 
- Criar uma base sólida para as tomadas de decisão, principalmente no que se relaciona com execução 
coerente do orçamento e no investimento em tecnologias necessárias para minimizar riscos de impacto ou 
potencial impacto para o negócio; 
- Permitir aos gestores equilibrarem seus custos de proteção e desempenho dos sistemas de informação 
vitais para o negócio. 
 
 
 6a Questão 
 
O gerenciamento de riscos é um processo que tem como objetivo dar suporte à 
organização para realizar suas funções vitais, em relação ao gerenciamento de risco 
analise as afirmativas abaixo: 
I-A gestão de riscos, consiste em processos sistemáticos de identificação, análise e 
avaliação dos riscos e monitoramento dos riscos. 
II-É um processo que identifica, avalia, prioriza e enfrenta os riscos. As organizações 
devem utilizar essa gestão em processos contínuos. 
III-Uma empresa organizada e com boa gerencia, possui planos que estabelecem um 
enfretamento para os riscos antes que os eventos associados a eles ocorram. 
 
Assinale apenas a opção com afirmações corretas: 
 
 
Apenas I e III 
 
Apenas I 
 
Apenas III 
 
Apenas II 
 I, II e III 
Respondido em 05/05/2020 12:50:58 
 
 
Explicação: 
Todas são verdadeiras 
 
 
 7a Questão 
 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infra-
estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de 
alarmes. Neste caso que tipo de barreira você está implementando? 
 
 Desencorajar 
 
Discriminar 
 
Detectar 
 
Dificultar 
 
Deter 
Respondido em 05/05/2020 12:51:09 
 
 
 8a Questão 
 
Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos 
de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação 
destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da 
Informação significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles 
(soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método 
"quantitativo" na Análise e Avaliação dos Riscos: 
 
 
Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com 
menções mais subjetivas como alto, médio e baixo. 
 
Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos 
componentes do risco que foram levantados. 
 
Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de 
vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou 
sua capacidade de gerar efeitos adversos na organização. 
 A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos 
os componentes associados ao risco.O risco é representando em termos de possíveis perdas 
financeiras. 
 
Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, 
reduzi-lo ou impedir que se repita. 
 
 
 
1a Questão 
 
Qual o nome do processo malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las 
posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ? 
 
 
Spyware 
 
Spammer 
 
Phishing 
 
Rootkit 
 Bot/Botnet 
Respondido em 05/05/2020 12:51:51 
 
 
Gabarito 
Coment. 
 
 
 
 2a Questão 
 
Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de 
incidentes sequencialmente ? 
 
 
Impacto, ameaça, incidente e recuperação 
 
Incidente, impacto, ameaça e recuperação 
 Ameaça, incidente, impacto e recuperação 
 
Incidente, recuperação, impacto e ameaça 
 
Ameaça, impacto, incidente e recuperação 
Respondido em 05/05/2020 12:52:13 
 
Gabarito 
Coment. 
 
 
 
 3a Questão 
 
Qual das opções abaixo não representa uma das etapas da Gestão de Risco: 
 
 
Manter e melhorar os controles 
 
Identificar e avaliar os riscos. 
 Manter e melhorar os riscos identificados nos ativos 
 
Verificar e analisar criticamente os riscos. 
 
Selecionar, implementar e operar controles para tratar os riscos. 
Respondido em 05/05/2020 12:52:35 
 
Gabarito 
Coment. 
 
 
 
 4a Questão 
 
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da 
Informação: 
 
 Probabilidade de uma ameaça explorar uma vulnerabilidade 
 
Probabilidade de um ativo explorar uma vulnerabilidade. 
 
Probabilidade de um ativo explorar uma ameaça. 
 
Probabilidade de um incidente ocorrer mais vezes. 
 
Probabilidade de uma ameaça explorar um incidente. 
Respondido em 05/05/2020 12:52:52 
 
 
 
 5a Questão 
 
A segurança da informação deve ser vista como algo estratégico dentro da organização. E a organização 
deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da organização criar um plano 
de gestão voltado para riscos é criando um Plano de Gestão de Risco (PGI). O PGI é composto por 4 fases, 
quais são elas? 
 
 Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco 
 
Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; 
Comunicação do impacto 
 
Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco 
 
Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco 
 
Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; 
Mapeamento de impacto 
Respondido em 05/05/2020 12:53:54 
 
Gabarito 
Coment. 
 
 
 
 6a Questão 
 
É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o 
processo em geral e a definição do contexto em particular. Qual das opções abaixo Não representa um 
destes propósitos? 
 
 
Preparação de um plano de respostas a incidentes. 
 
Descrição dos requisitos de segurança da informação para um produto. 
 
Conformidade Legal e a evidência da realização dos procedimentos corretos 
 
Preparação de um plano de continuidade de negócios. 
 Preparação de um plano para aceitar todos os Riscos 
Respondido em 05/05/2020 12:54:20 
 
Gabarito 
Coment. 
 
 
 
 7a Questão 
 
Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: 
 
 
Manter a reputação e imagem da organização 
 
Entender os riscos associados ao negócio e a gestão da informação 
 
Melhorar a eficácia no controle de riscos 
 Eliminar os riscos completamente e não precisar mais tratá-los 
 
Melhorar a efetividade das decisões para controlar os riscos 
Respondido em 05/05/2020 12:54:28 
 
 
Gabarito 
Coment. 
 
 
 
 8a Questão 
 
Qual das opções abaixo descreve melhor o conceito de "Risco" quando relacionado com a Segurança da 
Informação: 
 
 
Probabilidade de um ativo explorar uma vulnerabilidade 
 
Probabilidade de uma ameaça explorar um incidente. 
 
Probabilidade de um incidente ocorrer mais vezes. 
 
Probabilidade de um ativo explorar uma ameaça. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade 
1a Questão 
 
Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as 
medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é 
eliminada. Neste caso estamos nos referindo a que tipo de risco: 
 
 
Risco tratado; 
 
Risco real; 
 
Risco percebido; 
 
Risco verdadeiro; 
 Risco residual; 
Respondido em 05/05/2020 12:55:05 
 
 
 2a Questão 
 
Em relação aos riscos que as empresas estão susceptíveis, analise as afirmações abaixo: 
I-A ameaça pode ser conceituada como algo que tenha potencial a ser violado em uma determinada 
circunstância,ação ou evento. 
II-A multiplicação de uma probabilidade de uma ameaça e a de uma vulnerabilidade produz o risco daquele 
evento específico 
III-Podemos definir vulnerabilidade como sendo os pontos fracos que podem ser explorados pelas ameaças 
existentes 
 
Assinale apenas a opção com afirmações corretas: 
 
 
Apenas I 
 
Apenas I e III 
 
Apenas III 
 I, II e III 
 
Apenas II 
Respondido em 05/05/2020 12:55:10 
 
 
Explicação: 
Todas estão corretas 
 
 
 3a Questão 
 
Em relaçãoà analise de risco, analise as afirmativas abaixo: 
I-Essa análise não é de grande relevância para que as organizações decidam quais os 
riscos exigirão maior atenção e investimentosuos. 
II-Uma organização não gastará tempo e investimentos para solucionar riscos que 
possuem uma chance pequena de ocorrer ou que provocará danos mínimos a 
organização. 
III-Após a coleta das informações e da inserção no registrador de riscos, a próxima etapa 
será realizar a análise e identificação dos riscos com a finalidade de classificá-los. 
 
Assinale apenas a opção com afirmações corretas: 
 
 
Apenas I 
 
Apenas I e II 
 
Apenas III 
 
I, II e III 
 Apenas II e III 
Respondido em 05/05/2020 12:55:15 
 
 
Explicação: 
A afirmativa I é falsa 
 
 
 4a Questão 
 
Vamos analisar cada item. E marque a alternativa correta. 
 
 
RSS (Really Simple Syndication) é uma forma de Feed que possibilita ao usuário receber dados de 
diversas fontes, reunindo-os em único local; 
 
O driver do HD possibilita a comunicação entre o HD e o computador/sistema operacional; 
 
O FTP (file transfer protocol) é o protocolo para transferência de arquivos do conjunto TCP/IP. Não 
é o único capaz de transferir arquivos, mas este é especializado e possui vários comandos para 
navegação e transferência de arquivos; 
 O antivírus é uma ferramenta que auxilia no combate às pragas eletrônicas 
 
O HTTP (hipertexto transfer protocol)? a ? é o protocolo utilizado pela WEB; 
Respondido em 05/05/2020 12:55:45 
 
 
 
 5a Questão 
 
Sobre a Gestão de Riscos, leia as afirmações e, a seguir, assinale a correta: 
I. O risco tem duas dimensões: a probabilidade de ocorrência e o impacto sobre o projeto. 
II. Dificilmente as chances de um risco podem ser eliminadas totalmente sem que o projeto seja 
reformulado. 
III. A gestão de riscos só visa o monitoramento para detecção de ameaças. 
 
 
Somente as afirmações I e III estão corretas 
 Somente as afirmações I e II estão corretas 
 
Somente a afirmação II está correta 
 
Somente a afirmação III está correta 
 
Somente a afirmação I está correta 
Respondido em 05/05/2020 12:55:43 
 
 
Explicação: 
Em função do monitoramento contínuo do ambiente organizacional externo e interno, a gestão de riscos 
pode detectar oportunidades e determinar como aproveitá-las. Portanto, o foco é minimizar o impacto de 
potenciais eventos negativos e obter plena vantagem de oportunidades com vistas a melhoramentos. O 
risco tem duas dimensões: a probabilidade de sua ocorrência e o impacto sobre o projeto. Portanto, é 
necessáriocompreender dimensões para que se possa administrar o risco. Importante ressaltar que 
dificilmente as chances de um risco podem ser eliminadas totalmente sem que o projeto seja reformulado. 
 
 
 6a Questão 
 
A gestão da continuidade do negócio está associada, a não permitir a interrupção das atividades do negócio 
e proteger os processos críticos contra efeitos de falhas ou desastres significativos. 
Analise: 
I. Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo com os 
requisitos regulamentares, estatutários, contratuais e do negócio; 
II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a 
assegurar sua permanente atualização e efetividade; 
III. Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para a 
proteção da informação. 
IV. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à 
probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação; 
Quanto aos controles relacionados à gestão da continuidade do negócio, marque a opção correta: 
 
 
I e II, somente 
 II e IV, somente 
 
I, II e III, somente 
 
I, II e IV, somente 
 
I e III, somente 
Respondido em 05/05/2020 12:55:53 
 
 
Explicação: 
. 
 
 
 7a Questão 
 
Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da 
Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão 
sobre o tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o 
tratamento do risco, exceto: 
 
 
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da 
organização e aos critérios para a aceitação do risco. 
 
Aplicar controles apropriados para reduzir os riscos. 
 Identificar os riscos de segurança presentes. 
 
Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. 
 
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos. 
Respondido em 05/05/2020 12:56:10 
 
 
Explicação: 
Identificar os riscos de segurança presentes.===> FALSO. Não só presentes como existentes em 
qualquer situação. 
Aplicar controles apropriados para reduzir os riscos.===> VERDADE 
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da 
organização e aos critérios para a aceitação do risco.===> VERDADE 
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.===> VERDADE 
Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. ===> 
VERDADE 
 
 
 
 
 
 8a Questão 
 
Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de 
obter informações pessoais de usuários de sites da Internet ou site corporativo ? 
 
 
Spyware 
 
Defacement 
 Phishing 
 
Backdoor 
 
Rootkit 
1a Questão 
 
Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las 
posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ? 
 
 
Spammer 
 Bot/Botnet 
 
Rootkit 
 
Phishing 
 
Spyware 
Respondido em 05/05/2020 12:57:12 
 
Gabarito 
Coment. 
 
 
 
 2a Questão 
 
Qual o nome da técnica/ataque ou maneira de identificar trafego de dados que "passam" em uma rede de 
computadores ? 
 
 
Monitor 
 Sniffer 
 
Keylogger 
 
Spyware 
 
DoS 
Respondido em 05/05/2020 12:57:22 
 
Gabarito 
Coment. 
 
 
 
 3a Questão 
 
Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta especificamente um 
dos três elementos da tríade da segurança da informação. Qual é o ataque ? 
 
 
0day 
 DoS/DDoS 
 
Adware 
 
Backdoor 
 
Spyware 
Respondido em 05/05/2020 12:57:29 
 
 
Gabarito 
Coment. 
 
 
 
 4a Questão 
 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de Banco 
de Dados, pretende instalar dispositivos de autenticação de acesso físico, que será implementado através 
de dispositivo biométrico. Neste caso que tipo de barreira você está implementando? 
 
 
Discriminar 
 
Desencorajar 
 Dificultar 
 
Detectar 
 
Deter 
Respondido em 05/05/2020 12:57:18 
 
 
 5a Questão 
 
Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos 
de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação 
destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da 
Informação significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles 
(soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis.Como podemos definir o método 
"quantitativo" na Análise e Avaliação dos Riscos: 
 
 
Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, 
reduzi-lo ou impedir que se repita. 
 
Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de 
vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou 
sua capacidade de gerar efeitos adversos na organização. 
 A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos 
os componentes associados ao risco.O risco é representando em termos de possíveis perdas 
financeiras. 
 
Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com 
menções mais subjetivas como alto, médio e baixo. 
 
Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos 
componentes do risco que foram levantados. 
Respondido em 05/05/2020 12:57:25 
 
Gabarito 
Coment. 
 
 
 
 6a Questão 
 
O ciclo de vida do negócio, tendo em vista os aspectos de tecnologia, depende de um bom entendimento do 
processo de Gerenciamento de Riscos do Negócio. O estágio de ¿análise de requisitos e definição de 
estratégias¿ é responsável por definir como a organização reagirá a uma interrupção do negócio ou desastre 
e os custos associados. Esse estágio tem processos de avaliação de risco e análise de impacto no negócio, 
comuns do ciclo contínuo de gerenciamento de riscos. Portanto, o gerenciamento de riscos é um processo 
que tem como objetivo dar subsídios à organização para realizar sua missão institucional, de forma a: 
I. Possibilitar a segurança efetiva dos sistemas de Tecnologias de Informação e Comunicação, responsáveis 
pelo processamento, armazenagem e transmissão de dados; 
II. Criar uma base sólida para as tomadas de decisão, principalmente no que se relaciona com execução 
coerente do orçamento e no investimento em tecnologias necessárias para minimizar riscos de impacto ou 
potencial impacto para o negócio; 
III. Impossibilitar os gestores de equilibrarem seus custos de proteção e desempenho dos sistemas de 
informação vitais para o negócio. 
Após a leitura, assinale a alternativa correta. 
 
 
Somente a II está correta 
 
Somente a III está correta 
 Somente as afirmações I e II estão corretas 
 
Somente as afirmações I e III estão corretas 
 
Somente a I está correta 
Respondido em 05/05/2020 12:57:29 
 
 
Explicação: 
O ciclo de vida do negócio, tendo em vista os aspectos de tecnologia, depende de um bom entendimento 
do processo de Gerenciamento de Riscos do Negócio. O estágio de ¿análise de requisitos e definição de 
estratégias¿ é responsável por definir como a organização reagirá a uma interrupção do negócio ou 
desastre e os custos associados. Esse estágio tem processos de avaliação de risco e análise de impacto no 
negócio, comuns do ciclo contínuo de gerenciamento de riscos. Portanto, o gerenciamento de riscos é um 
processo que tem como objetivo dar subsídios à organização para realizar sua missão institucional, de 
forma a: 
- Possibilitar a segurança efetiva dos sistemas de Tecnologias de Informação e Comunicação, responsáveis 
pelo processamento, armazenagem e transmissão de dados; 
- Criar uma base sólida para as tomadas de decisão, principalmente no que se relaciona com execução 
coerente do orçamento e no investimento em tecnologias necessárias para minimizar riscos de impacto ou 
potencial impacto para o negócio; 
- Permitir aos gestores equilibrarem seus custos de proteção e desempenho dos sistemas de informação 
vitais para o negócio. 
 
 
 7a Questão 
 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infra-
estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de 
alarmes. Neste caso que tipo de barreira você está implementando? 
 
 Desencorajar 
 
Detectar 
 
Deter 
 
Dificultar 
 
Discriminar 
Respondido em 05/05/2020 12:57:34 
 
 
 
 8a Questão 
 
Referente ao processo de Gestão de incidentes, qual é a sequência na ordem que compõem o processo de 
gestão de incidentes ? 
 
 
Ameaça, impacto, incidente e recuperação 
 
Incidente, impacto, ameaça e recuperação 
 Ameaça, incidente, impacto e recuperação 
 
Incidente, recuperação, impacto e ameaça 
 
Impacto, ameaça, incidente e recuperação 
Respondido em 05/05/2020 12:57:39 
1a Questão 
 
O gerenciamento de riscos é um processo que tem como objetivo dar suporte à 
organização para realizar suas funções vitais, em relação ao gerenciamento de risco 
analise as afirmativas abaixo: 
I-A gestão de riscos, consiste em processos sistemáticos de identificação, análise e 
avaliação dos riscos e monitoramento dos riscos. 
II-É um processo que identifica, avalia, prioriza e enfrenta os riscos. As organizações 
devem utilizar essa gestão em processos contínuos. 
III-Uma empresa organizada e com boa gerencia, possui planos que estabelecem um 
enfretamento para os riscos antes que os eventos associados a eles ocorram. 
 
Assinale apenas a opção com afirmações corretas: 
 
 
Apenas I e III 
 I, II e III 
 
Apenas II 
 
Apenas III 
 
Apenas I 
Respondido em 05/05/2020 12:57:59 
 
 
Explicação: 
Todas são verdadeiras 
 
 
 2a Questão 
 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são 
utilizados termos numéricos para os componentes associados ao risco. 
 
 
Método Qualitativo 
 Método Quantitativo 
 
Método Classificatório 
 
Método Exploratório. 
 
Método Numérico. 
Respondido em 05/05/2020 12:58:02 
 
 
 
 3a Questão 
 
Em relação à avaliação de riscos, analise as afirmações abaixo: 
I-A primeira etapa do processo será de avaliar e dimensionar os riscos. 
II-Essa avaliação possui como foco determinar a extensão dos potenciais de ameaças e 
quais são os riscos associados. 
III-O resultado dessa análise não promoverá viabilidade a gestão de riscos e assim será 
possível identificar maneiras para controlar e/ou minimizar os riscos. 
 
Assinale apenas a opção com afirmações corretas: 
 
 
Apenas II e III 
 Apenas I e II 
 
Apenas I e III 
 
Apenas III 
 
I , II e III 
Respondido em 05/05/2020 12:58:22 
 
 
Explicação: 
o certo será: 
III-O resultado dessa análise promoverá viabilidade a gestão de riscos e assim será possível identificar 
maneiras para controlar e/ou minimizar os riscos. 
 
 
 4a Questão 
 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de 
acordo com a ABNT NBR ISO/IEC 27005. 
 
 
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente 
estabelecido. 
 
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de 
origem humana. 
 
As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de 
riscos 
 
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de 
incidentes de segurança. 
 O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
Respondido em 05/05/2020 12:58:37 
 
 
Explicação: 
O ativo que tem o maior risco de disponibilidade, ou seja, aquele que tem maior acessibilidade, por 
conseguinte é também aquele que tem a maior possibilidade de risco. 
 
 
 5a Questão 
 
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da 
Informação: 
 
 
Probabilidade de um ativo explorar uma vulnerabilidade. 
 
Probabilidade de um ativo explorar uma ameaça. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade 
 
Probabilidade de um incidente ocorrer mais vezes. 
 
Probabilidade de uma ameaça explorar um incidente. 
Respondido em 05/05/2020 12:58:46 
 
 
 6a Questão 
 
Qual das opções abaixo não representauma das etapas da Gestão de Risco: 
 
 
Manter e melhorar os controles 
 
Verificar e analisar criticamente os riscos. 
 
Selecionar, implementar e operar controles para tratar os riscos. 
 Manter e melhorar os riscos identificados nos ativos 
 
Identificar e avaliar os riscos. 
Respondido em 05/05/2020 12:59:53 
 
Gabarito 
Coment. 
 
 
 
 7a Questão 
 
Qual o nome do processo malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las 
posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ? 
 
 
Spyware 
 
Spammer 
 
Rootkit 
 Bot/Botnet 
 
Phishing 
Respondido em 05/05/2020 12:59:47 
 
 
Gabarito 
Coment. 
 
 
 
 8a Questão 
 
Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: 
 
 
Manter a reputação e imagem da organização 
 
Entender os riscos associados ao negócio e a gestão da informação 
 
Melhorar a efetividade das decisões para controlar os riscos 
 
Melhorar a eficácia no controle de riscos 
 Eliminar os riscos completamente e não precisar mais tratá-los 
Respondido em 05/05/2020 13:00:04 
1a Questão 
 
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira 
corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma 
combinação de ambas. Neste sentido podemos definir a barreira "Deter": 
 
 
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e 
instrumentem os gestores da segurança na detecção de situações de risco. 
 Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o 
negócio. 
 
Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as 
ameaças. 
 
Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os 
acessos, definindo perfis e autorizando permissões. 
 
Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de 
segurança da informação. 
Respondido em 05/05/2020 13:00:57 
 
Gabarito 
Coment. 
 
 
 
 2a Questão 
 
Você trabalha na área de gestão de risco da sua organização. Após a fase de análise de risco, você irá 
realizar a etapa de tratamento de risco através da implementação de controles que irão reduzir a 
probabilidade de ameaças se concretizarem , assim como a diminuição do grau de vulnerabilidade do 
ambiente de produção. Neste caso a medida de proteção implementada foi: 
 
 
Métodos detectivos 
 
Medidas reativas 
 Medidas preventivas 
 
Medidas de controles 
 
Medidas corretivas 
Respondido em 05/05/2020 13:01:03 
 
 
 
 3a Questão 
 
Qual das opções abaixo não representa uma das etapas da Gestão de Risco: 
 
 
Manter e melhorar os controles 
 
Verificar e analisar criticamente os riscos. 
 
Selecionar, implementar e operar controles para tratar os riscos. 
 Manter e melhorar os riscos identificados nos ativos 
 
Identificar e avaliar os riscos. 
Respondido em 05/05/2020 13:00:58 
 
 
 4a Questão 
 
Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: 
 
 
Melhorar a efetividade das decisões para controlar os riscos 
 
Manter a reputação e imagem da organização 
 Eliminar os riscos completamente e não precisar mais tratá-los 
 
Entender os riscos associados ao negócio e a gestão da informação 
 
Melhorar a eficácia no controle de riscos 
Respondido em 05/05/2020 13:01:15 
 
Gabarito 
Coment. 
 
 
 
 5a Questão 
 
Sobre a Gestão de Riscos, leia as afirmações e, a seguir, assinale a correta: 
I. O risco tem duas dimensões: a probabilidade de ocorrência e o impacto sobre o projeto. 
II. Dificilmente as chances de um risco podem ser eliminadas totalmente sem que o projeto seja 
reformulado. 
III. A gestão de riscos só visa o monitoramento para detecção de ameaças. 
 
 Somente as afirmações I e II estão corretas 
 
Somente a afirmação III está correta 
 
Somente as afirmações I e III estão corretas 
 
Somente a afirmação I está correta 
 
Somente a afirmação II está correta 
Respondido em 05/05/2020 13:01:34 
 
 
Explicação: 
Em função do monitoramento contínuo do ambiente organizacional externo e interno, a gestão de riscos 
pode detectar oportunidades e determinar como aproveitá-las. Portanto, o foco é minimizar o impacto de 
potenciais eventos negativos e obter plena vantagem de oportunidades com vistas a melhoramentos. O 
risco tem duas dimensões: a probabilidade de sua ocorrência e o impacto sobre o projeto. Portanto, é 
necessáriocompreender dimensões para que se possa administrar o risco. Importante ressaltar que 
dificilmente as chances de um risco podem ser eliminadas totalmente sem que o projeto seja reformulado. 
 
 
 6a Questão 
 
Em relação aos riscos que as empresas estão susceptíveis, analise as afirmações abaixo: 
I-A ameaça pode ser conceituada como algo que tenha potencial a ser violado em uma determinada 
circunstância, ação ou evento. 
II-A multiplicação de uma probabilidade de uma ameaça e a de uma vulnerabilidade produz o risco daquele 
evento específico 
III-Podemos definir vulnerabilidade como sendo os pontos fracos que podem ser explorados pelas ameaças 
existentes 
 
Assinale apenas a opção com afirmações corretas: 
 
 I, II e III 
 
Apenas II 
 
Apenas III 
 
Apenas I 
 
Apenas I e III 
Respondido em 05/05/2020 13:01:29 
 
 
Explicação: 
Todas estão corretas 
 
 
 7a Questão 
 
Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da 
Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão 
sobre o tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o 
tratamento do risco, exceto: 
 
 
Aplicar controles apropriados para reduzir os riscos. 
 
Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. 
 
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da 
organização e aos critérios para a aceitação do risco. 
 
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos. 
 Identificar os riscos de segurança presentes. 
Respondido em 05/05/2020 13:02:21 
 
 
Explicação: 
Identificar os riscos de segurança presentes.===> FALSO. Não só presentes como existentes em 
qualquer situação. 
Aplicar controles apropriados para reduzir os riscos.===> VERDADE 
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da 
organização e aos critérios para a aceitação do risco.===> VERDADE 
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.===> VERDADE 
Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. ===> 
VERDADE 
 
 
 
 
 
 8a Questão 
 
Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de 
obter informações pessoais de usuários de sites da Internet ou site corporativo ? 
 
 
Defacement 
 
Backdoor 
 
Rootkit 
 Phishing 
 
Spyware 
1a Questão 
 
Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as 
medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é 
eliminada. Neste caso estamos nos referindo a que tipo de risco: 
 
 
Risco tratado; 
 
Risco real; 
 
Risco percebido; 
 Risco residual; 
 
Risco verdadeiro; 
Respondido em 05/05/2020 13:03:06 
 
 
 
 2a Questão 
 
Em relaçãoà analise de risco, analise as afirmativas abaixo: 
I-Essa análise não é de grande relevância para que as organizações decidam quais os 
riscos exigirão maior atenção e investimentosuos. 
II-Uma organização não gastará tempo e investimentos para solucionar riscos que 
possuem uma chance pequena de ocorrer ou que provocará danosmínimos a 
organização. 
III-Após a coleta das informações e da inserção no registrador de riscos, a próxima etapa 
será realizar a análise e identificação dos riscos com a finalidade de classificá-los. 
 
Assinale apenas a opção com afirmações corretas: 
 
 
Apenas I e II 
 
I, II e III 
 
Apenas I 
 Apenas II e III 
 
Apenas III 
Respondido em 05/05/2020 13:03:16 
 
 
Explicação: 
A afirmativa I é falsa 
 
 
 3a Questão 
 
Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra um 
determinado risco está muito além das possibilidades da organização e portanto não vale a pena tratá-lo. 
Neste caso você: 
 
 
Rejeita o risco 
 
Comunica o risco 
 
Ignora o risco 
 Aceita o risco 
 
Trata o risco a qualquer custo 
Respondido em 05/05/2020 13:03:35 
 
 
 4a Questão 
 
Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos 
de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação 
destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da 
Informação significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles 
(soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método 
"quantitativo" na Análise e Avaliação dos Riscos: 
 
 
Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, 
reduzi-lo ou impedir que se repita. 
 
Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com 
menções mais subjetivas como alto, médio e baixo. 
 
Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos 
componentes do risco que foram levantados. 
 
Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de 
vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou 
sua capacidade de gerar efeitos adversos na organização. 
 A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos 
os componentes associados ao risco.O risco é representando em termos de possíveis perdas 
financeiras. 
Respondido em 05/05/2020 13:03:59 
 
Gabarito 
Coment. 
 
 
 
 5a Questão 
 
Referente ao processo de Gestão de incidentes, qual é a sequência na ordem que compõem o processo de 
gestão de incidentes ? 
 
 
Ameaça, impacto, incidente e recuperação 
 
Incidente, recuperação, impacto e ameaça 
 
Impacto, ameaça, incidente e recuperação 
 Ameaça, incidente, impacto e recuperação 
 
Incidente, impacto, ameaça e recuperação 
Respondido em 05/05/2020 13:04:14 
 
Gabarito 
Coment. 
 
 
 
 6a Questão 
 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de Banco 
de Dados, pretende instalar dispositivos de autenticação de acesso físico, que será implementado através 
de dispositivo biométrico. Neste caso que tipo de barreira você está implementando? 
 
 
Discriminar 
 
Deter 
 Dificultar 
 
Detectar 
 
Desencorajar 
Respondido em 05/05/2020 13:04:35 
 
 
 
 7a Questão 
 
Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las 
posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ? 
 
 
Rootkit 
 Bot/Botnet 
 
Spammer 
 
Spyware 
 
Phishing 
Respondido em 05/05/2020 13:04:43 
 
Gabarito 
Coment. 
 
 
 
 8a Questão 
 
Qual o nome da técnica/ataque ou maneira de identificar trafego de dados que "passam" em uma rede de 
computadores ? 
 
 
Monitor 
 
DoS 
 
Spyware 
 
Keylogger 
 Sniffer 
 
 
1a Questão 
 
O ciclo de vida do negócio, tendo em vista os aspectos de tecnologia, depende de um bom entendimento do 
processo de Gerenciamento de Riscos do Negócio. O estágio de ¿análise de requisitos e definição de 
estratégias¿ é responsável por definir como a organização reagirá a uma interrupção do negócio ou desastre 
e os custos associados. Esse estágio tem processos de avaliação de risco e análise de impacto no negócio, 
comuns do ciclo contínuo de gerenciamento de riscos. Portanto, o gerenciamento de riscos é um processo 
que tem como objetivo dar subsídios à organização para realizar sua missão institucional, de forma a: 
I. Possibilitar a segurança efetiva dos sistemas de Tecnologias de Informação e Comunicação, responsáveis 
pelo processamento, armazenagem e transmissão de dados; 
II. Criar uma base sólida para as tomadas de decisão, principalmente no que se relaciona com execução 
coerente do orçamento e no investimento em tecnologias necessárias para minimizar riscos de impacto ou 
potencial impacto para o negócio; 
III. Impossibilitar os gestores de equilibrarem seus custos de proteção e desempenho dos sistemas de 
informação vitais para o negócio. 
Após a leitura, assinale a alternativa correta. 
 
 
Somente a II está correta 
 
Somente a III está correta 
 Somente as afirmações I e II estão corretas 
 
Somente a I está correta 
 
Somente as afirmações I e III estão corretas 
Respondido em 05/05/2020 13:05:10 
 
 
Explicação: 
O ciclo de vida do negócio, tendo em vista os aspectos de tecnologia, depende de um bom entendimento 
do processo de Gerenciamento de Riscos do Negócio. O estágio de ¿análise de requisitos e definição de 
estratégias¿ é responsável por definir como a organização reagirá a uma interrupção do negócio ou 
desastre e os custos associados. Esse estágio tem processos de avaliação de risco e análise de impacto no 
negócio, comuns do ciclo contínuo de gerenciamento de riscos. Portanto, o gerenciamento de riscos é um 
processo que tem como objetivo dar subsídios à organização para realizar sua missão institucional, de 
forma a: 
- Possibilitar a segurança efetiva dos sistemas de Tecnologias de Informação e Comunicação, responsáveis 
pelo processamento, armazenagem e transmissão de dados; 
- Criar uma base sólida para as tomadas de decisão, principalmente no que se relaciona com execução 
coerente do orçamento e no investimento em tecnologias necessárias para minimizar riscos de impacto ou 
potencial impacto para o negócio; 
- Permitir aos gestores equilibrarem seus custos de proteção e desempenho dos sistemas de informação 
vitais para o negócio. 
 
 
 2a Questão 
 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infra-
estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de 
alarmes. Neste caso que tipo de barreira você está implementando? 
 
 
Detectar 
 
Deter 
 Desencorajar 
 
Discriminar 
 
Dificultar 
Respondido em 05/05/2020 13:05:19 
 
 
 3a Questão 
 
Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta especificamente um 
dos três elementos da tríade da segurança da informação. Qual é o ataque ? 
 
 
0day 
 
Adware 
 
Spyware 
 
Backdoor 
 DoS/DDoS 
Respondido em 05/05/2020 13:05:27 
 
 
Gabarito 
Coment. 
 
 
 
 4a Questão 
 
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da 
Informação: 
 
 Probabilidade de uma ameaça explorar uma vulnerabilidade 
 
Probabilidade de um ativo explorar uma ameaça. 
 
Probabilidade de um ativo explorar uma vulnerabilidade. 
 
Probabilidade de um incidente ocorrer mais vezes. 
 
Probabilidade de uma ameaça explorar um incidente. 
Respondido em 05/05/2020 13:05:34 
 
 
 5a Questão 
 
Em relação à avaliação de riscos, analise as afirmações abaixo: 
I-A primeira etapa do processo será de avaliar e dimensionar os riscos. 
II-Essa avaliação possui como foco determinar a extensão dos potenciais de ameaças e 
quais são os riscos associados. 
III-O resultado dessa análise não promoverá viabilidade a gestão de riscos e assim será 
possível identificar maneiras para controlare/ou minimizar os riscos. 
 
Assinale apenas a opção com afirmações corretas: 
 
 
I , II e III 
 
Apenas I e III 
 Apenas I e II 
 
Apenas III 
 
Apenas II e III 
Respondido em 05/05/2020 13:05:40 
 
 
Explicação: 
o certo será: 
III-O resultado dessa análise promoverá viabilidade a gestão de riscos e assim será possível identificar 
maneiras para controlar e/ou minimizar os riscos. 
 
 
 6a Questão 
 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são 
utilizados termos numéricos para os componentes associados ao risco. 
 
 
Método Classificatório 
 
Método Qualitativo 
 Método Quantitativo 
 
Método Numérico. 
 
Método Exploratório. 
Respondido em 05/05/2020 13:05:45 
 
 
 7a Questão 
 
Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: 
 
 
Melhorar a eficácia no controle de riscos 
 
Manter a reputação e imagem da organização 
 
Melhorar a efetividade das decisões para controlar os riscos 
 Eliminar os riscos completamente e não precisar mais tratá-los 
 
Entender os riscos associados ao negócio e a gestão da informação 
Respondido em 05/05/2020 13:06:09 
 
Gabarito 
Coment. 
 
 
 
 8a Questão 
 
Qual das opções abaixo não representa uma das etapas da Gestão de Risco: 
 
 Manter e melhorar os riscos identificados nos ativos 
 
Selecionar, implementar e operar controles para tratar os riscos. 
 
Verificar e analisar criticamente os riscos. 
 
Manter e melhorar os controles 
 
Identificar e avaliar os riscos.