Testes de segurança da Informação

Prévia do material em texto

1.
		Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da Informação:
	
	
	
	Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes.
	
	
	Tudo aquilo que tem origem para causar algum tipo de erro nos ativos
	
	
	Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos
	
	
	Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos
	
	
	Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos
	
		2.
		Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infra-estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de alarmes. Neste caso que tipo de barreira você está implementando?
	
	
	
	Dificultar
	
	
	Desencorajar
	
	
	Deter
	
	
	Discriminar
	
	
	Detectar
	
		3.
		Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco:
	
	
	
	Melhorar a efetividade das decisões para controlar os riscos
	
	
	Eliminar os riscos completamente e não precisar mais tratá-los
	
	
	Manter a reputação e imagem da organização
	
	
	Melhorar a eficácia no controle de riscos
	
	
	Entender os riscos associados ao negócio e a gestão da informação
	
		4.
		Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter":
	
	
	
	Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças.
	
	
	Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio.
	
	
	Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco.
	
	
	Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação.
	
	
	Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões.
	
		5.
		Em relação à avaliação de riscos, analise as afirmações abaixo:
I-A  primeira etapa do processo será de avaliar e dimensionar os riscos.
II-Essa avaliação possui como foco determinar a extensão dos potenciais de ameaças e quais são os riscos associados.
III-O resultado dessa análise não promoverá viabilidade a gestão de riscos e assim será possível identificar maneiras para controlar e/ou minimizar os riscos.
 
Assinale apenas a opção com afirmações corretas:
	
	
	
	Apenas I e III
	
	
	I , II e III
	
	
	Apenas III
	
	
	Apenas II e III
	
	
	Apenas I e II
	
Explicação:
o certo será:
III-O resultado dessa análise promoverá viabilidade a gestão de riscos e assim será possível identificar maneiras para controlar e/ou minimizar os riscos.
	
		6.
		Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de incidentes sequencialmente ?
	
	
	
	Incidente, recuperação, impacto e ameaça
	
	
	Impacto, ameaça, incidente e recuperação
	
	
	Ameaça, impacto, incidente e recuperação
	
	
	Incidente, impacto, ameaça e recuperação
	
	
	Ameaça, incidente, impacto e recuperação
	
		7.
		O gerenciamento de riscos é um processo que tem como objetivo dar suporte à organização para realizar suas funções vitais, em relação ao gerenciamento de risco analise as afirmativas abaixo:
I-A gestão de riscos, consiste em processos sistemáticos de identificação, análise e avaliação dos riscos e monitoramento dos riscos.
II-É um processo que identifica, avalia, prioriza e enfrenta os riscos. As organizações devem utilizar essa gestão em processos contínuos.    
III-Uma empresa organizada e com boa gerencia, possui planos que estabelecem um enfretamento para os riscos antes que os eventos associados a eles ocorram.
 
Assinale apenas a opção com afirmações corretas:
	
	
	
	I, II e III
	
	
	Apenas II
	
	
	Apenas I e III
	
	
	Apenas III
	
	
	Apenas I
	
Explicação:
Todas são verdadeiras
		8.
		Qual das opções abaixo representa o tipo de ação quando observamos que o custo de proteção contra um determinado risco não vale a pena ser aplicado:
	
	
	
	Garantia do Risco
	
	
	Aceitação do Risco
	
	
	Comunicação do Risco
	
	
	Recusar o Risco
	
	
	Monitoramento do Risco
	
		1.
		Os processos que envolvem a gestão de risco são, exceto:
	
	
	
	Identificar os riscos
	
	
	Realizar a análise qualitativa do risco
	
	
	Realizar a análise quantitativa do risco
	
	
	Planejar o gerenciamento de risco
	
	
	Gerenciar as respostas aos riscos
	
	
	
	
	
	
		2.
		Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.
	
	
	
	A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
	
	
	Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
	
	
	Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.
	
	
	Os riscos residuais são conhecidos antes da comunicação do risco.
	
	
	Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
	
		3.
		Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de segurança da informação. Assinale a opção correta.
	
	
	
	Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise de riscos uma delas.
	
	
	A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação.
	
	
	No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações.
	
	
	Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco.
	
	
	A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas.
	
		4.
		Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais:
	
	
	
	Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais
	
	
	Requisitos de negócio, Análise de risco, Requisitos legais
	
	
	Classificação da informação, requisitos de negócio e análise de risco
	
	
	Análise de vulnerabilidades, requisitos legais e classificação da informação
	
	
	Análise de risco, análise do impacto de negócio (BIA), classificação da informação
	
		5.
		Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas.
1) Comitê de segurança da informação.
2) Controle.
3) Funções de software e hardware.
4) Deve ser analisado criticamente.
5) Política.
( ) Controle.
( ) Firewall.
( ) estrutura organizacional.
( ) Permissão de acesso a um servidor.
( ) Ampla divulgação das normas de segurança da informação.
A combinação correta entre as duas colunas é:
	
	
	
	4-3-1-2-5.
	
	
	5-1-4-3-2.
	
	
	4-3-5-2-1.
	
	
	1-2-4-3-5.
	
	
	2-3-1-5-4.
	
		6.
		Em relação as normas, analise as afirmações abaixo:
I-Uma norma pode ser definida como um documento que possui uma descrição técnica e precisa de critérios a serem seguidos por todos da empresa
II-As normas possuem como objetivo elevar o nível de confiabilidade dos produtos e serviços que são fornecidos por uma organização.
III-A norma tem a capacidade de apoiar os processos de inovação, porém depende do tamanhoda organização.
 
Assinale apenas a opção com afirmações corretas:
	
	
	
	I, II e III
	
	
	Apenas I
	
	
	Apenas I e II
	
	
	Apenas III
	
	
	Apenas I e III
	
Explicação:
A III está incorreta, o certo seria:
A norma tem a capacidade de apoiar os processos de inovação, independentemente do tamanho da organização.
		7.
		Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes?
	
	
	
	Procedimentos.
	
	
	Diretrizes.
	
	
	Manuais.
	
	
	Normas.
	
	
	Relatório Estratégico.
	
		8.
		De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve:
	
	
	
	ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização.
	
	
	apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos.
	
	
	conter o registro dos incidentes de segurança da organização.
	
	
	revelar informações sensíveis da organização.
	
	
	conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção.
	
		1.
		A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise:
	
	
	
	Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores
	
	
	A avaliação das ações preventivas e corretivas
	
	
	A avaliação dos riscos e incidentes desejados
	
	
	Os resultados das auditorias anteriores e análises críticas
	
	
	A realimentação por parte dos envolvidos no SGSI
	
		2.
		A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas.
Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa:
	
	
	
	É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos.
	
	
	Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
	
	
	Nenhuma das opções anteriores.
	
	
	Esta etapa implementa através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI.
	
	
	Nesta etapa são colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores.
	
Explicação:
A primeira etapa do PDCA é o Plan (planejamento), que estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
	
		3.
		A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
	
	
	
	Corretivas e Correção.
	
	
	Prevenção e Preventivas.
	
	
	Corrigidas e Preventivas.
	
	
	Corretivas e Preventivas.
	
	
	Corretivas e Corrigidas.
	
		4.
		Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de:
	
	
	
	Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização.
	
	
	Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
	
	
	Definir e medir a eficácia dos controles ou grupos de controle selecionados.
	
	
	Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
	
	
	Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes
	
	
		5.
		A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é:
	
	
	
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	
	
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	
	
	Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões.
	
	
	Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI.
	
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação.
	
		6.
		A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
	
	
	
	Corrigidas e Preventivas
	
	
	Corretivas e Correção
	
	
	Corretivas e Corrigidas
	
	
	Corretivas e Preventivas
	
	
	Prevenção e Preventivas
		7.
		A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ?
	
	
	
	Preventiva
	
	
	Correção
	
	
	Desencorajamento
	
	
	Limitação
	
	
	Reação
	
		8.
		A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo:
I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos causados, e assim implantar controles para minimizá-los
II-A norma não possibilita que as organizações no mundo todo possam se certificar de suas práticas de gestão de segurança da informação.
III-A norma fornece suporte para que as organizações possam utilizar as melhores técnicas de monitoramento e controles, que envolvam recursos tecnológicos e humanos.
 
Assinale a opção que contenha apenas afirmações corretas:
	
	
	
	Apenas I 
	
	
	Apenas III
	
	
	Apenas II e III
	
	
	Apenas I e III
	
	
	I, II e III
	
Explicação:
A afirmativa II é falsa
	
	
	
		1.
		A norma NBR ISO/IEC 22313 também adota o ciclo PDCA a fim de utilizar essa ferramenta para planejar, implementar, analisar e melhor a eficiência do sistema de gestão de continuidade do negócio.
"Ocorre o planejamento e o estabelecimento deuma política de continuidade de negócios, por meio da definição dos objetivos, metas, controles, processos e procedimentos importantes para a melhoria da continuidade de negócios a fim de obter resultados alinhados com os objetivos e políticas gerais da organização."
Essa descrição é sobre qual etapa do ciclo PDCA?
	
	
	
	DO
	
	
	Check
	
	
	Nenhuma das opções anteriores
	
	
	Plan
	
	
	Act
	
Explicação:
etapa do planejamento
	
		2.
		A gestão de continuidade de negócios (GCN) faz parte de um processo que possibilita que uma organização lide com os incidentes de interrupção que poderiam impedi-la de atingir seus objetivos.  Sobre a GCN analise as afirmativas abaixo:
I-A continuidade de negócios pode ser descrita pela capacidade de continuar a entregar seus produtos e serviços em níveis aceitáveis após a ocorrência de um incidente de interrupção.
II-Através da integração da gestão de continuidade de negócios (GCN) e de uma estrutura sistêmica de gestão da organização é que criamos um Sistema de Gestão de Continuidade de Negócios (SGCN).
III-O SGCN pode ser aplicado apenas em empresas de porte grande.
 
Assinale a opção que contenha apenas afirmações verdadeiras:
	
	
	
	I, II e III
	
	
	Apenas I
	
	
	Apenas I e III
	
	
	Apenas III
	
	
	Apenas I e II
	
Explicação:
O SGCN pode ser aplicado em empresas de porte grande, médio e pequeno e que operem em setores industrial, comercial, público e sem fins lucrativos.
	
		3.
		A norma NBR ISO/IEC 22313 também adota o ciclo PDCA a fim de utilizar essa ferramenta para planejar, implementar, analisar e melhor a eficiência do sistema de gestão de continuidade do negócio.
Sobre a etapa "DO", qual das alternativas descreve essa etapa:
	
	
	
	Nenhuma das opções anteriores
	
	
	É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos.
	
	
	 Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação.
	
	
	Ocorre a implementação e operação da política de continuidade de negócios, controles, processos e procedimentos.
	
	
	São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores
	
Explicação:
A segunda etapa do PDCA é o DO (fazer), que implementa-se o que foi estabelecido na etapa anterior, através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI.
	
		4.
		O Plano de Continuidade do Negócio......
	
	
	
	define uma ação de continuidade imediata e temporária.
	
	
	deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não.
	
	
	prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco.
	
	
	precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais.
	
	
	não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação.
	
		5.
		O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"?
	
	
	
	A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
	
	
	O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações.
	
	
	A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
	
	
	Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
	
	
	Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.
	
		6.
		BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios.
	
	
	
	Simples e Objetiva.
	
	
	Natural e Desordenada
	
	
	Estatística e Ordenada
	
	
	Qualitativa e Quantitativa
	
	
	Clara e Intelegível
	
		7.
		O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"?
	
	
	
	Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações.
	
	
	A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
	
	
	Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
	
	
	Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.
	
	
	Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
	
		8.
		Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que:
	
	
	
	As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas
	
	
	As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas
	
	
	As metas e objetivos definidos sejam comprometidos por interrupções inesperadas
	
	
	As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas
	
	
	As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas
	
		1.
		Dentre as vantagens de utilização de normas, podemos destacar as seguintes, EXCETO:
	
	
	
	Criação de vantagens competitivas
	
	
	Demonstração de liderança de mercadoAtrair e manter clientes
	
	
	Desenvolvimento e manutenção das melhores práticas
	
	
	Compartilhamento de informações com os stakeholders
	
		2.
		Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INCORRETA :
	
	
	
	Chave Publica e Privada são utilizadas por algoritmos assimétricos
	
	
	Cada pessoa ou entidade mantém duas chaves
	
	
	A Chave Publica pode ser divulgada livremente
	
	
	A Chave Publica não pode ser divulgada livremente, somente a Chave Privada
	
	
	A Chave Privada deve ser mantida em segredo pelo seu Dono
	
		3.
		Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade certificadora confiável. Uma mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições:
1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho;
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana;
3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores.
A mensagem de Ana para Bernardo deve ser assinada
	
	
	
	com a chave pública de Ana e criptografada com a chave privada de Bernardo.
	
	
	e criptografada com a chave privada de Bernardo.
	
	
	e criptografada com a chave pública de Ana.
	
	
	com a chave privada de Ana e criptografada com a chave pública de Bernardo.
	
	
	com a chave privada de Bernardo e criptografada com a chave pública de Ana.
	
		4.
		Em relação a firewalls, analise as assertivas abaixo:
I.Firewalls em estado de conexão mapeiam pacotes e usam campos cabeçalhos TCP/IP para cuidar da conectividade.
II.Firewalls podem implementar gateways em nível de aplicação que examinam os pacotes por dentro, além do cabeçalho TCP/IP, para ver o que a aplicação está fazendo.
III. Um problema fundamental com firewalls é que eles oferecem um único perímetro de defesa, o qual, se rompido, deixará comprometida toda a segurança.
É correto o que se afirma em :
	
	
	
	I e II, apenas
	
	
	II, apenas
	
	
	I, apenas
	
	
	III, apenas
	
	
	I, II e III
	
		5.
		Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar:
	
	
	
	Um analisador de protocolo para auxiliar na análise do tráfego da rede
	
	
	Um sniffer de rede, para analisar o tráfego da rede
	
	
	Um detector de intrusão para realizar a análise do tráfego da rede
	
	
	Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede
	
	
	Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall
	
		6.
		A política de segurança da informação define qual é a filosofia da organização em relação aos acessos dos usuários a fim de assegurar que todas as informações da organização e de seus clientes estejam protegidas contra possíveis danos.A política de segurança da informação define qual é a filosofia da organização em relação aos acessos dos usuários a fim de assegurar que todas as informações da organização e de seus clientes estejam protegidas contra possíveis danos.De quem é a responsabilidade de proteger as informações?
	
	
	
	Apenas do gestor de informação.
	
	
	De todos os funcionários da organização.
	
	
	Apenas o gerente
	
	
	Apenas do estagiário.
	
	
	Apenas do presidente da empresa
	
Explicação:
A proteção das informações é de responsabilidade de todos dentro da organização, independentemente de seu nível hierárquico.
	
		7.
		Um problema muito grande que pode ocorrer dentro de uma organização, é a perda de uma determinada informação que não possui cópia. Independentemente do que originou a perda da informação, a organização necessita cita ter condições de recuperar uma informação caso ela tenha sido destruída. Em relação ao Backup das informações assinale a opção que contenha apenas afirmações verdadeiras:
I-A solução de backup em tempo real é a mais eficiente e a que oferece maior grau de certeza de aproveitamento imediato da cópia dos dados perdidos.
II-A escolha do local onde ficarão os dados armazenados não é importante para se enfrentar situações de desastre.
III-Para tomar uma decisão profissional, é necessário analisar as ameaças, avaliar o risco, identificar o nível de perigo e decidir o investimento junto aos diretores da empresa.
	
	
	
	Apenas I e II
	
	
	Apenas III
	
	
	I, II e III
	
	
	Apenas I e III
	
	
	Apenas II
	
Explicação:
A questão II é falsa
	
		8.
		Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar :
	
	
	
	Um servidor proxy
	
	
	Um filtro de pacotes
	
	
	Um roteador de borda
	
	
	Um firewall com estado
	
	
	Um detector de intrusão
	
 
 
 
 
 
1.
 
 
 
Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança 
da Informação:
 
 
 
 
Tudo aquilo que te
m potencial de causar algum tipo de falha aos incidentes.
 
 
 
Tudo aquilo que tem origem para causar algum tipo de erro nos ativos
 
 
 
Tudo aquilo que tem potencial de causar algum ti
po de dano aos ativos
 
 
 
Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos
 
 
 
Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos
 
 
 
2.
 
 
 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os 
riscos na área de infra
-
estrutura, pretende instalar algumas câmeras de vídeo, 
além da colocação de avisos
 
sobre a existência de alarmes. Neste caso que tipo 
de barreira você está implementando?
 
 
 
 
Dificultar
 
 
 
Desencorajar
 
 
 
Deter
 
 
 
Discriminar
 
 
 
Detectar
 
 
 
3.
 
 
 
Qual das opções abaixo Não representa um benefício proveniente de uma 
Gestão de Risco
:
 
 
 
 
Melhorar a efetividade das decisões para controlar os riscos
 
 
 
Eliminar os riscos completamente e não precisar mais tratá
-
los
 
 
 
Mant
er a reputação e imagem da organização
 
 
 
Melhorar a eficácia no controle de riscos
 
 
 
Entender os riscos associados ao negócio e a gestão da informação
 
 
4.
 
 
 
Um grupo específico de medidas preventivas é chamado de barreiras de 
segurança, uma barreira corresponde a qualquer obstáculo para prevenir 
um ataque podendo ser física, lógica ou mesmo uma combinação de 
a
mbas. Neste sentido podemos definir a barreira "Deter":
 
 
 
 
Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar 
as ameaças.
 
 
 
Esta barreira
 
representa o objetivo de impedir que a ameaça atinja os ativos que suportam 
o negócio.
 
 
 
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e 
instrumentem os gestores da segurança 
na detecção de situações de risco.
 
 
 
Esta barreira tem um sentido especial de representar a continuidade do processo de 
gestão de segurança da informação.
 
 
 
Esta barreira trata com
o importante se cercar de recursos que permitam identificar e gerir 
os acessos, definindo perfis e autorizando permissões.
 
 
 
 
 
1. 
 
 
Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança 
da Informação: 
 
 
 
Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. 
 
 
Tudo aquilo que tem origem para causar algum tipo de erro nos ativos 
 
 
Tudo aquilo que tem potencial de causar algum tipo de dano aos ativosTudo aquilo que tem percepção de causar algum tipo de dano aos ativos 
 
 
Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos 
 
 
2. 
 
 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os 
riscos na área de infra-estrutura, pretende instalar algumas câmeras de vídeo, 
além da colocação de avisos sobre a existência de alarmes. Neste caso que tipo 
de barreira você está implementando? 
 
 
 
Dificultar 
 
 
Desencorajar 
 
 
Deter 
 
 
Discriminar 
 
 
Detectar 
 
 
3. 
 
 
Qual das opções abaixo Não representa um benefício proveniente de uma 
Gestão de Risco: 
 
 
 
Melhorar a efetividade das decisões para controlar os riscos 
 
 
Eliminar os riscos completamente e não precisar mais tratá-los 
 
 
Manter a reputação e imagem da organização 
 
 
Melhorar a eficácia no controle de riscos 
 
 
Entender os riscos associados ao negócio e a gestão da informação 
 
4. 
 
 
Um grupo específico de medidas preventivas é chamado de barreiras de 
segurança, uma barreira corresponde a qualquer obstáculo para prevenir 
um ataque podendo ser física, lógica ou mesmo uma combinação de 
ambas. Neste sentido podemos definir a barreira "Deter": 
 
 
 
Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar 
as ameaças. 
 
 
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam 
o negócio. 
 
 
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e 
instrumentem os gestores da segurança na detecção de situações de risco. 
 
 
Esta barreira tem um sentido especial de representar a continuidade do processo de 
gestão de segurança da informação. 
 
 
Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir 
os acessos, definindo perfis e autorizando permissões.