INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO
1a aula
		
	 
	Lupa
	 
	 
	
	
PPT
	
MP3
	 
		Exercício: EEX0007_EX_A1_202002047771_V1 
	09/05/2020
	Aluno(a): ALTINO DE JESUS BARBOSA 
	2020.1 EAD 
	Disciplina: EEX0007 - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO  
	202002047771
	
	 
	
	 1a Questão 
	
	
	
	
	Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 (três) aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança da Informação". Quais elementos compõem a tríade da segurança da informação?
		
	
	Confiabilidade, Integridade e Disponibilidade
	
	Privacidade, Governabilidade e Confidencialidade
	
	Integridade, Legalidade e Confiabilidade
	
	Disponibilidade, Privacidade e Segurabilidade
	
	Autenticidade, Legalidade e Privacidade
	Respondido em 09/05/2020 19:33:03
	
	
	 
	
	 2a Questão 
	
	
	
	
	Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da Informação:
		
	
	Tudo aquilo que não possui valor específico.
	
	Tudo aquilo que tem valor para a organização.
	
	Tudo aquilo que a empresa usa como inventario contábil.
	
	Tudo aquilo que não manipula dados.
	
	Tudo aquilo que é utilizado no Balanço Patrimonial.
	Respondido em 09/05/2020 19:34:01
	
	
	 
	
	 3a Questão 
	
	
	
	
	Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
I-Segurança da informação é o conjunto de orientações, normas, procedimentos, políticas e demais ações que tem por objetivo proteger o recurso informação, possibilitando que o negócio da organização seja realizado e a sua missão seja alcançada.
II-A segurança da informação não minimiza os riscos da organização em relação à dependência do uso dos recursos de informação para o funcionamento da mesma. 
III-Nos dias atuais é importante que a segurança da informação tenha como objetivo propor soluções técnicas que visem melhorias na política de segurança das informação das empresas.
		
	
	Somente II e III
	
	Todas estão erradas
	
	Somente I e III
	
	Somente I e II
	
	Somente I 
	Respondido em 09/05/2020 19:35:23
	
Explicação: 
O certo seria:
A segurança da informação tem a função de minimizar os riscos da organização em relação à dependência do uso dos recursos de informação para o funcionamento da mesma.
	
	
	 
	
	 4a Questão 
	
	
	
	
	A informação pode ser classificada em níveis de prioridade dentro da organização, conforme segue:
I. Informação pública: deveria ter o livre acesso evitado, embora não haja consequências prejudiciais/sérias do acesso e uso não autorizado. A integridade deste tipo de informação é importante, porém não vital.
II. Informação Interna: pode vir ao público sem consequências prejudiciais ao funcionamento normal da empresa e cuja integridade não é vital.
III. Informação Confidencial: é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em desequilíbrio operacional e, eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo.
IV. Informação Secreta: muito crítica para as atividades da empresa e cuja integridade deve ser preservada a qualquer custo. O acesso deve ser restrito, e a segurança deste tipo de informação é crucial/vital para a empresa.
Após a leitura, assinale a alternativa correta sobre as asserções supracitadas: 
		
	
	Somente as asserções I, II e III estão corretas
	
	Somente as asserções III e IV estão corretas
	
	Somente as asserções I e III estão corretas
	
	Somente as asserções I e II estão corretas
	
	Somente as asserções II e IV estão corretas
	Respondido em 09/05/2020 19:42:04
	
Explicação: 
· Informação pública: Informação que pode vir ao público sem consequências prejudiciais ao funcionamento normal da empresa e cuja integridade não é vital;
· Informação Interna: Informação que deveria ter o livre acesso evitado, embora não haja consequências prejudiciais/sérias do acesso e uso não autorizado. A integridade deste tipo de informação é importante, porém não vital;
· Informação Confidencial: Informação que é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em desequilíbrio operacional e, eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo;
· Informação Secreta: Informação muito crítica para as atividades da empresa e cuja integridade deve ser preservada a qualquer custo. O acesso deve ser restrito, e a segurança deste tipo de informação é crucial/vital para a empresa.
	· 
	
	 
	
	 5a Questão 
	
	
	
	
	Em relação a segurança da informação análise as seguintes afirmações:
I. "A segurança da informação tem a função de minimizar os riscos da organização em relação à dependência do uso dos recursos de informação para o funcionamento da mesma"
II. "Sem a informação ou com uma incorreta, as empresas podem ter perdas que comprometam o seu funcionamento e o retorno de investimento dos acionistas."
III. "Segurança da informação é o conjunto de orientações, normas, procedimentos, políticas e demais ações que tem por objetivo proteger o recurso informação, possibilitando que o negócio da organização seja realizado e a sua missão seja alcançada".
 
Assinale a opção que contenha as afirmações corretas:
		
	
	I
	
	I, II e III
	
	II e III
	
	Nenhuma
	
	I e II
	Respondido em 09/05/2020 19:43:10
	
Explicação: 
Todas as afirmativas estão corretas
	
	
	 
	
	 6a Questão 
	
	
	
	
	Em relação aos conceitos abaixo, assinale as opções que tenha apenas as afirmações corretas:
I-"Os dados são variáveis sem significado qualitativo e representam variáveis brutas. O termo "informação"  é um meio de coletar os dados e gerenciá-los de forma a ter significado uteis a um usuário e assim construir um conhecimento".
II- "A informação é o mesmo que um conjunto de dados. Transformar esses dados em informação é transformar algo com pouco significado em um recurso de menor valor para a nossa vida pessoal ou profissional"
III-"O termo "conhecimento" pode ser entendido como um processo no qual uma crença pessoal é justificada em relação a verdade".
		
	
	Somente I e III
	
	Somente II e III
	
	Somente I
	
	I, II e III
	
	Somente I e II
	Respondido em 09/05/2020 19:49:27
	
Explicação: 
o certo será:
A informação é muito mais que um conjunto de dados. Transformar esses dados em informação é transformar algo com pouco significado em um recurso de valor para a nossa vida pessoal ou profissional
	
	
	 
	
	 7a Questão 
	
	
	
	
	Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no estudo e implementação de um processo de gestão de segurança em uma organização? 
		
	
	Impacto .
	
	Risco.
	
	insegurança
	
	Vulnerabilidade.
	
	Ameaça.
	Respondido em 09/05/2020 21:30:42
	
	
	 
	
	 8a Questão 
	
	
	
	
	Todo tipo de complemento da tarefa dentro de uma corporação requer informação. A comunicação é requerida para assegurar que estas informações provêm para a pessoa responsável pela tarefa.
Sendo a informação o elemento fundamental para todos os processos de negócio da organização, leia as asserções abaixo e, a seguir, assinale a alternativa correta:
I. A informação é um bem ou ativo de grande valor, podendo levar a organização do sucesso ao fracasso, em função de impactos financeiros, operacionais ou de imagem, ocasionados por falhas, erros ou fraudes no uso da informação;
II. A informação passou a ser um recurso estratégico para as organizações, possibilitando a geração de conhecimento e apoiando o processo de tomada de decisões. Em virtude disto, o grau de proteção e preocupação com estas informações diminuiu consideravelmente;
III. As informações trafegadas intermitentemente pela organização caracterizam-se por serem um dos seus ativos mais valiosos.Somente as asserções I e III estão corretas
	
	Somente as asserções I e II estão corretas
	
	Somente a asserção II está correta
	
	Somente a asserção III está correta
	
	Somente as asserções II e III estão corretas
	Respondido em 09/05/2020 22:23:51
	
Explicação: 
I. A informação é um bem ou ativo de grande valor, podendo levar a organização do sucesso ao fracasso, em função de impactos financeiros, operacionais ou de imagem, ocasionados por falhas, erros ou fraudes no uso da informação;
II. A informação passou a ser um recurso estratégico para as organizações, possibilitando a geração de conhecimento e apoiando o processo de tomada de decisões. Em virtude disto, o grau de proteção e preocupação com estas informações aumentou consideravelmente;
III. As informações trafegadas intermitentemente pela organização caracterizam-se por serem um dos seus ativos mais valiosos.
	1a Questão 
	
	
	
	A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do tratamento dos Dados para a sua utilização eficaz nas organizações?
		
	
	Dado - Informação - Dados Brutos
	
	Dado - Conhecimento Bruto - Informação Bruta
	
	Dado - Informação - Conhecimento
	
	Dado - Conhecimento - Informação
	
	Dado - Informação - Informação Bruta
	Respondido em 09/05/2020 23:54:57
	
	
	 
	
	 2a Questão 
	
	
	
	
	A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor este princípio: 
		
	
	Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada.
	
	Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados.
	
	Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou processos.
	
	Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado. 
	
	Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de cancelamento posterior.
	Respondido em 09/05/2020 23:58:42
	
	
	 
	
	 3a Questão 
	
	
	
	
	O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará está relacionado com qual conceito de?
		
	
	Ameaça.
	
	Vulnerabilidade.
	
	Impacto.
	
	Risco.
	
	Valor.
	Respondido em 10/05/2020 00:09:19
	
	
	 
	
	 4a Questão 
	
	
	
	
	No contexto da Segurança da Informação, a medida que indica a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos que ela trará está relacionada com qual conceito de?
		
	
	Risco.
	
	Valor.
	
	Vulnerabilidade.
	
	Ameaça.
	
	Impacto.
	Respondido em 10/05/2020 00:09:49
	
	
	Gabarito
Coment.
	
	 
	
	 5a Questão 
	
	
	
	
	Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: 
		
	
	Disponibilidade
	
	Confidencialidade
	
	Auditoria
	
	Integridade
	
	Privacidade
	Respondido em 10/05/2020 00:19:03
	
	
	 
	
	 6a Questão 
	
	
	
	
	O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual conceito?
		
	
	Impacto.
	
	Valor.
	
	Vulnerabilidade.
	
	Ameaça.
	
	Risco.
	Respondido em 10/05/2020 00:22:28
	
	
	Gabarito
Coment.
	
	 
	
	 7a Questão 
	
	
	
	
	"É um conjunto organizado de dados, que constitui uma mensagem sobre um determinado fenômeno ou evento."
"Permite resolver problemas e tomar decisões, tendo em conta que o seu uso racional é base do conhecimento."
"É um fenômeno que confere significado ou sentido às coisas, já que através de códigos e de conjuntos de dados, forma os modelos do pensamento humano."
As citações supracitadas dizem respeito ao conceito de: (assinale a alternativa correta)
		
	
	Informação
	
	Software
	
	Redes de Telecomunicação
	
	Internet
	
	Hardware
	Respondido em 10/05/2020 00:56:08
	
Explicação: 
A informação é um conjunto organizado de dados, que constitui uma mensagem sobre um determinado fenômeno ou evento. A informação permite resolver problemas e tomar decisões, tendo em conta que o seu uso racional é base do conhecimento. A informação é um fenômeno que confere significado ou sentido às coisas, já que através de códigos e de conjuntos de dados, forma os modelos do pensamento humano.
	
	
	 
	
	 8a Questão 
	
	
	
	
	Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
I-A informação é uma mercadoria capaz de produzir conhecimento, e a informação incluída em um sinal é o que podemos aprender dela... O conhecimento é identificado com a crença produzida (ou sustentada) pela informação.
II-A informação atualmente é um recurso estratégico para empresas, possibilitando a sustentabilidade do negócio, gerando conhecimento sobre os processos e apoiando as tomadas de decisões. 
III-A informação deve ser cuidada por meio de políticas e regras, da mesma maneira que os recursos financeiro e material são tratados dentro da empresa.
		
	
	Somente I e II
	
	Somente II
	
	Somente I
	
	Somente I e III
	
	I, II e III
	Respondido em 10/05/2020 00:59:06
	
Explicação: 
Todas estão corretas
	1a Questão 
	
	
	
	VULNERABILIDADE DE SEGURANÇA O ciclo de vida da informação Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que está dialogando com seu banco e não com alguém que se faz passar por ele? Neste caso estamos falando de: 
		
	
	Não-repúdio
	
	Disponibilidade 
	
	Confidencialidade
	
	Legalidade
	
	Autenticação 
	Respondido em 10/05/2020 05:33:02
	
	
	 
	
	 2a Questão 
	
	
	
	
	A informação é um ativo importante dentro da organização, e que deve ser protegido em todas as fases do seu ciclo de vida. Aponte dentre as alternativas abaixo aquela que corresponde ao correto ciclo de vida da informação:
		
	
	Desarquivamento, Transporte, Edição, Manuseio e Descarte 
	
	Geração, Edição, Correção, Divulgação e Descarte
	
	Criação, Edição, Correção, Manuseio e Descarte
	
	Geração, Transporte, Armazenamento, Manuseio e Descarte.
	
	Geração, Transporte, Publicação, Apreciação e Arquivamento.
	Respondido em 10/05/2020 05:34:03
	
	
	Gabarito
Coment.
	
	 
	
	 3a Questão 
	
	
	
	
	As ameaças são os principais perigos a que uma empresa está́ susceptível. Essas ameaças podem ser classificadas em:
· Ameaças intencionais
· Ameaças relacionadas aos equipamentos
· Ameaças relativas a um evento natural
· Ameaças não intencionais
Em relação as ameças relacionadas aos equipamentos, podemos afirmar:
		
	
	São os perigos trazidos pela falta de conhecimento. Por exemplo, um usuário ou administrador de sistema que não tenha recebido treinamento adequado, que não tenha lido a documentação, ou que não tenha entendido a importância do cumprimento das regras de segurança estabelecidas pela organização. A maior partedos danos causados no sistema surge pela ignorância de usuários ou administradores e não por ações maliciosas.
	
	esse grupo de ameaças incluem todos os equipamentos ou instalações físicas de uma empresa, que podem estar sujeitos a fogo, inundações, quedas de energia. É possível minimizar as chances de que o dano seja severo e também fazer um planejamento para a recuperação após a ocorrência de um desastre de ordem natural.
	
	Nenhuma das opções abaixo
	
	São as ameaças divulgadas pela mídia e nas quais os produtos de segurança podem atuar melhor. Podem ser do tipo agentes internos ou externos. Em que agentes externos podem ter acesso ao sistema de várias formas. Apesar do foco dos dispositivos de segurança normalmente ser o agente do tipo externo, a maior parte dos problemas de segurança é provocada por agentes do tipo internos.
	
	Quando um equipamento apresenta falhas de hardware ou mesmo de software, seja por defeito ou mesmo por bugs. Colaboradores especializados podem induzir falhas aos sistemas por eles administrados.
	Respondido em 10/05/2020 05:38:58
	
Explicação: 
Letra B é a correta
	
	
	 
	
	 4a Questão 
	
	
	
	
	A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para:
		
	
	A gestão da área comercial.
	
	A gestão dos negócios da organização .
	
	A gestão dos usuários.
	
	A gestão de orçamento.
	
	A gestão do ciclo da informação interna.
	Respondido em 10/05/2020 05:43:03
	
	
	 
	
	 5a Questão 
	
	
	
	
	Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade¿. Esta afirmação é:
		
	
	verdadeira desde que seja considerada que todas as informações são publicas.
	
	verdadeira se considerarmos que o nível não deve ser mudado.
	
	verdadeira, pois a classificação da informação pode ser sempre reavaliada.
	
	falsa, pois a informação não deve ser avaliada pela sua disponibilidade.
	
	falsa, pois não existe alteração de nível de segurança de informação.
	Respondido em 10/05/2020 05:44:22
	
	
	 
	
	 6a Questão 
	
	
	
	
	Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
I-Uma das maneiras mais efetivas de proteger os sistemas computacionais das organizações é garantir que as vulnerabilidades que existem em cada infraestrutura de TI não se transformem em algo danoso.
II-As ameaças não são os principais perigos a que uma empresa está́ susceptível. 
III-A vulnerabilidade pode ser associada ao conceito de fragilidade. Dessa forma, a vulnerabilidade pode ser definida como os pontos fracos explorados por ameaças que afetam a confiabilidade e disponibilidade das informações de uma empresa.
		
	
	Somente I
	
	Somente II e III
	
	Somente II
	
	Somente I e III
	
	Somente I e II
	Respondido em 10/05/2020 05:48:06
	
Explicação: 
Somente I e III estão corretas
	
	
	 
	
	 7a Questão 
	
	
	
	
	Sobre o conceito: " [...] é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em desiquilíbrio operacional e, eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo". Tal conceituação refere-se a qual tipo de informação, no que tange ao nível de prioridade da mesma, segundo Wadlow (2000)?
		
	
	Informação confidencial
	
	Informação Interna
	
	Nenhuma das alternativas anteriores
	
	Informação secreta
	
	Informação Pública
	Respondido em 10/05/2020 05:49:06
	
	
	 
	
	 8a Questão 
	
	
	
	
	O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que por sua vez, mantêm a operação da empresa. Estes momentos são denominados: 
		
	
	Manuseio, armazenamento, transporte e descarte
	
	Iniciação, processamento, utilização e remoção
	
	Criação, utilização, armazenamento e compartilhamento
	
	Manuseio, transporte, compartilhamento e remoção
	
	Criação, compartilhamento, utilização e descarte
	
		3a aula
		
	 
	Lupa
	 
	 
	
	
PPT
	
MP3
	 
		Exercício: EEX0007_EX_A3_202002047771_V1 
	11/05/2020
	Aluno(a): ALTINO DE JESUS BARBOSA 
	2020.1 EAD 
	Disciplina: EEX0007 - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO  
	202002047771
	
	 
	
	 1a Questão 
	
	
	
	
	Uma pesquisa realizada pelos organizadores da Conferência Infosecurity Europe 2003 com trabalhadores de escritórios, que distribuía um brinde (de baixo valor) aos entrevistados, revelou que 75% deles se dispunham a revelar suas senhas em resposta a uma pergunta direta ("Qual é a sua senha?"), e outros 15% responderam a perguntas indiretas que levariam à determinação da senha. Esse experimento evidencia a grande vulnerabilidade dos ambientes computacionais a ataques de que tipo?
		
	
	Engenharia social.
	
	Vírus de computador. 
	
	Cavalos de tróia. 
	
	Back doors. 
	
	Acesso físico. 
	Respondido em 11/05/2020 04:37:01
	
	
	Gabarito
Coment.
	
	 
	
	 2a Questão 
	
	
	
	
	Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. 
		
	
	O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
	
	Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. 
	
	As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. 
	
	A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. 
	
	As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos. 
	Respondido em 11/05/2020 04:39:18
	
	
	Gabarito
Coment.
	
	 
	
	 3a Questão 
	
	
	
	
	Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
I-A técnica de criptografia pode ser classificada em duas: Criptografia simétrica e Criptografia assimétrica.
II-Na criptografia assimétrica ambas as partes de comunicação possuem a mesma chave. Como vantagem esse tipo de técnica apresenta um algoritmo muito rápido, porém como desvantagem é que o canal deve ser mais seguro para que o envio da chave secreta não seja interceptado.
III-A criptografia simétrica possui como princípio a utilização de duas chaves. Sendo que uma chave é mantida em segredo e a outra chave pode ser enviada publicamente. Nesse tipo de criptografia, uma das chaves é utilizada no processo de encriptação da informação e a outra chave é utilizada no processo de decriptação da informação
		
	
	Somente I
	
	Somente III
	
	I, II e III
	
	Somente I e III
	
	Somente II e III
	Respondido em 11/05/2020 04:51:47
	
Explicação: 
A II e III estão trocadas.
	
	
	 
	
	 4a Questão 
	
	
	
	
	Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
I-A Criptografia é uma técnica que permite transformar informações em uma forma ilegível com a finalidade de ser reconhecida apenas pelo destinatário devido.
II-A criptografia pode ser conceituada como uma ciência que usa algoritmos para criptografar os dados de uma maneira não legível. 
III- A encriptação é o processo contrário da criptografia, em que os dados encriptados são transformados em sua forma original legível.
		
	
	Somente I e II
	
	Somente I e III
	
	I, II e III
	
	Somente III
	
	Somente II e III
	Respondido em 11/05/2020 04:54:01
	
Explicação: 
A decriptação é o processo contrário da criptografia, em que os dados encriptados são transformados em sua forma original legível.
	
	
	 
	
	 5a Questão 
	
	
	
	
	João trabalha no Datacenter de uma empresa de Tecnologia. Logo assim que chegou no ambiente de trabalho, ocorreu um curto circuito e iniciou um incêndio. João correu parabuscar um extintor contra incêndio e percebeu que ele estava vazio. Neste caso estamos falando de vulnerabilidade do tipo: 
		
	
	Física 
	
	Mídia
	
	Natural 
	
	Comunicação 
	
	Humana 
	Respondido em 11/05/2020 04:54:41
	
	
	 
	
	 6a Questão 
	
	
	
	
	Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir. 
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. 
II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. 
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. 
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. 
Representam vulnerabilidades dos ativos de informação o que consta em: 
		
	
	I, II e IV, somente. 
	
	I e III, somente. 
	
	I, III e IV, somente. 
	
	II e III, somente. 
	
	I, II, III e IV.
	Respondido em 11/05/2020 04:57:22
	
	
	Gabarito
Coment.
	
	 
	
	 7a Questão 
	
	
	
	
	O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? 
		
	
	Problema
	
	Ameaça
	
	Dependência
	
	Risco
	
	Vulnerabilidade
	Respondido em 11/05/2020 04:59:12
	
	
	Gabarito
Coment.
	
	 
	
	 8a Questão 
	
	
	
	
	O processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções pode ser descrito em qual das opções abaixo?
		
	
	Ativo
	
	Ameaça
	
	Análise de Vulnerabilidade
	
	Analise de Escopo
	
	Analise de Incidente
		4a aula
		
	 
	Lupa
	 
	 
	
	
PPT
	
MP3
	 
		Exercício: EEX0007_EX_A4_202002047771_V1 
	12/05/2020
	Aluno(a): ALTINO DE JESUS BARBOSA 
	2020.1 EAD 
	Disciplina: EEX0007 - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO  
	202002047771
	
	 
	
	 1a Questão 
	
	
	
	
	Atualmente, as organizações consideram a informação atrelada a tecnologia como um ativo valioso internamente. Essas organizações utilizam a tecnologia integrada a informação para gerir melhor seus negócios e agregar valor aos seus produtos e serviços.As ameaças à segurança de informação de uma empresa estão diretamente relacionadas com a perda de algumas características. Entre as afirmativas abaixo marque apenas as que contenha apenas informações corretas:
 
I-Integridade: Quando uma informação fica exposta a um usuário não autorizado e o mesmo efetua modificações nas informações sem a devida autorização.
II-Confidencialidade: Ocorre quando é possível acessar uma informação que deveria ter sigilo, como as senhas de uma usuário ou de administrador do sistema.
III-Disponibilidade: Quando uma informação não fica mais acessível para a pessoa que necessita dele.  Isso ocorre, por exemplo, quando um sistema de comunicação de uma empresa entra em falha.
		
	
	Apenas II
	
	Apenas I
	
	Apenas II e III
	
	Apenas I e III
	
	I , II e III
	Respondido em 12/05/2020 01:58:40
	
Explicação: 
As três estão corretas
	
	
	 
	
	 2a Questão 
	
	
	
	
	Com relação as ameaças aos sistema de informação, assinale a opção correta:
		
	
	Spyware é um programa que permite o controle remoto do agente invasor e é capaz de se propagar automaticamente, pois explora vulnerabilidades existentes em programas instalados em computadores.
	
	Backdoor é um programa que permite o acesso de uma máquina a um invasor de computador, pois assegura a acessibilidade a essa máquina em modo remoto, sem utilizar, novamente, os métodos de realização da invasão.
	
	Bot é um programa capaz de se propagar, automaticamente, por rede, pois envia cópias de si mesmo de computador para computador, por meio de execução direta ou por exploração automática das vulnerabilidades existentes em programas instalados em computadores.
	
	Vírus é um programa que monitora as atividades de um sistema e envia informações relativas a essas atividades para terceiros. Um exemplo é o vírus keylogger que é capaz de armazenar os caracteres digitados pelo usuário de um computador. 
	
	Worm é um programa ou parte de um programa de computador, usualmente malicioso, que se propaga ao criar cópias de si mesmo e, assim, se torna parte de outros programas e arquivos.
	Respondido em 12/05/2020 02:01:07
	
	
	Gabarito
Coment.
	
	 
	
	 3a Questão 
	
	
	
	
	Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um:
		
	
	vírus
	
	active-x
	
	exploit
	
	cavalo de tróia (trojan horse)
	
	worm
	Respondido em 12/05/2020 02:01:35
	
	
	 
	
	 4a Questão 
	
	
	
	
	Pedro construiu um software malicioso capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Neste caso o programa poderá afetar o desempenho da rede e a utilização do computador. Neste caso podemos afirmar que Pedro construiu um: 
		
	
	Backdoor
	
	Worm
	
	Keylogger 
	
	Screenlogger 
	
	Trojan 
	Respondido em 12/05/2020 02:01:57
	
	
	 
	 5a Questão 
	
	As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade?
		
	
	Naturais, Voluntarias e Vulneráveis.
	
	Naturais, Involuntárias e Obrigatórias.
	
	Naturais, Involuntárias e Voluntarias.
	
	Naturais, Voluntarias e Obrigatórias.
	
	Ocasionais, Involuntárias e Obrigatórias.
	Respondido em 12/05/2020 02:02:45
	
	
	 
	
	 6a Questão 
	
	
	
	
	Você pode perceber que é importante detectar, analisar e depois ¿atacar¿ as ameaças em que as organizações estão susceptíveis.Em relação as redes de computadores, as ameaças podem surgir através de agente maliciosos, como os Crakers. Assinale apenas a alternativa que contenha apenas as afirmações corretas:
I-Cracker é uma pessoa que invade um sistema de segurança com o objetivo de roubar ou destruir informações dos sistemas.
II-Os Cracker não possuem como objetivo invadir um sistema com a intenção de causar algum dano especifico.
III-Os crackers já possuem características opostas, eles possuem prática na quebra da segurança dos sistemas e softwares e utilizam o conhecimento adquirido de forma a causar algum dano e de forma ilegal.
		
	
	Apenas II
	
	Apenas I e III
	
	I, II e III
	
	Apenas I
	
	Apenas I e II
	Respondido em 12/05/2020 02:04:19
	Explicação: A Qquestão II refere-se a um Hacker.
	 7a Questão 
	
	
	
	
	Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso?
		
	
	Ativo
	
	Fraco
	
	Passivo
	
	Secreto
	
	Forte
	Respondido em 12/05/2020 02:07:07
	
	
	Gabarito
Coment.
	
	 
	
	 8a Questão 
	
	
	
	
	As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classificadas como:
		
	
	Tecnológicas. 
	
	Globalizadas
	
	Voluntárias
	
	Insconsequentes
	
	Destrutivas
	
		5a aula
		
	 
	Lupa
	 
	 
	
	
PPT
	
MP3
	 
		Exercício: EEX0007_EX_A5_202002047771_V1 
	13/05/2020
	Aluno(a): ALTINO DE JESUS BARBOSA 
	2020.1 EAD 
	Disciplina: EEX0007 - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO  
	202002047771
	
	 
	
	 1a Questão 
	
	
	
	
	Qual o nome do ataque que tem como objetivo desfigurar a página de um site ?
		
	
	Spam
	
	Worm
	
	Backdoor
	
	Defacement
	
	DisfigurationRespondido em 13/05/2020 06:31:50
	
	
	 
	
	 2a Questão 
	
	
	
	
	A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de:
		
	
	Smurf
	
	Fraggle
	
	Fragmentação de pacotes IP
	
	SQL injection
	
	Buffer Overflow
	Respondido em 13/05/2020 06:32:54
	
	
	 
	
	 3a Questão 
	
	
	
	
	Pedro realizou um ataque em um site e conseguiu um acesso privilegiado através do Banco de dados. Neste caso podemos afirmar que Pedro realizou um ataque do tipo: 
		
	
	IP Spoofing 
	
	Buffer Overflow 
	
	Força bruta 
	
	SYN Flooding
	
	SQLinjection 
	Respondido em 13/05/2020 06:34:15
	
	
	 
	
	 4a Questão 
	
	
	
	
	Ataques a sistemas de computação são tipos de crimes virtuais que visam, entre outras coisas, obter informações que se encontram em sistemas alheios. Crimes dos quais todos os internautas e empresas correm o risco de sofrer, mas que nem sempre sabem exatamente o que são, como agem e quais danos podem vir a causar aos computadores e sistemas. Qual dos itens abaixo "não" pertence ao ciclo de um ataque:
		
	
	Obtenção do acesso.
	
	Quebra de sigilo bancário.
	
	Levantamento das informações.
	
	Camuflagem das evidências.
	
	Exploração das informações.
	Respondido em 13/05/2020 06:35:34
	
	
	Gabarito
Coment.
	
	 
	
	 5a Questão 
	
	
	
	
	João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando derrubar à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar?
		
	
	Fraggle 
	
	Port Scanning
	
	Fragmentação de pacotes IP 
	
	Ip Spoofing 
	
	SYN Flooding 
	Respondido em 13/05/2020 06:36:59
	
	
	Gabarito
Coment.
	
	 
	
	 6a Questão 
	
	
	
	
	Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: O ataque  explora a metodologia de estabelecimento de conexões do protocoloTCP, baseado no three-way-handshake. Desta forma  um grande número de requisições de conexão (pacotes SYN) é enviando, de tal maneira que o servidor não seja capaz de responder a todas elas. A pilha de memória sofre então um overflow e as requisições de conexões de usuários legítimos são, desta forma, desprezadas, prejudicando a disponibilidade do sistema.. Qual seria este ataque:
		
	
	Fraggle.
	
	Port Scanning.
	
	Packet Sniffing.
	
	Ip Spoofing.
	
	Syn Flooding.
	Respondido em 13/05/2020 06:38:56
	
	
	Gabarito
Coment.
	
	 
	
	 7a Questão 
	
	
	
	
	Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de
		
	
	Buffer Overflow 
	
	Fragmentação de Pacotes IP
	
	Fraggle
	
	SQL Injection 
	
	Smurf
	Respondido em 13/05/2020 06:41:23
	
	
	Gabarito
Coment.
	
	
	Gabarito
Coment.
	
	 
	
	 8a Questão 
	
	
	
	
	Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu objetivo o invasor tentará levantar estas informações através da escuta das portas do protocolo TCP e UDP. Neste caso estamos nos referindo a um ataque do tipo:
		
	
	Port Scanning
	
	SYN Flooding
	
	Fragmentação de Pacotes IP
	
	Three-way-handshake
	
	Fraggle
		6a aula
		
	 
	Lupa
	 
	 
	
	
PPT
	
MP3
	 
		Exercício: EEX0007_EX_A6_202002047771_V1 
	13/05/2020
	Aluno(a): ALTINO DE JESUS BARBOSA 
	2020.1 EAD 
	Disciplina: EEX0007 - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO  
	202002047771
	
	 
	
	 1a Questão 
	
	
	
	
	Qual o nome do processo malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ?
		
	
	Spyware
	
	Bot/Botnet
	
	Rootkit
	
	Phishing
	
	Spammer
	Respondido em 13/05/2020 23:52:01
	
	
	Gabarito
Coment.
	
	 
	
	 2a Questão 
	
	
	
	
	Qual das opções abaixo representa o tipo de ação quando observamos que o custo de proteção contra um determinado risco não vale a pena ser aplicado:
		
	
	Aceitação do Risco
	
	Recusar o Risco
	
	Garantia do Risco
	
	Monitoramento do Risco
	
	Comunicação do Risco
	Respondido em 13/05/2020 23:52:15
	
	
	 
	
	 3a Questão 
	
	
	
	
	Qual das opções abaixo não representa uma das etapas da Gestão de Risco:
		
	
	Identificar e avaliar os riscos.
	
	Selecionar, implementar e operar controles para tratar os riscos.
	
	Manter e melhorar os controles
	
	Verificar e analisar criticamente os riscos.
	
	Manter e melhorar os riscos identificados nos ativos
	Respondido em 13/05/2020 23:52:58
	
	
	 
	
	 4a Questão 
	
	
	
	
	Qual das opções abaixo descreve melhor o conceito de "Risco" quando relacionado com a Segurança da Informação:
		
	
	Probabilidade de um ativo explorar uma vulnerabilidade
	
	Probabilidade de um incidente ocorrer mais vezes.
	
	Probabilidade de um ativo explorar uma ameaça.
	
	Probabilidade de uma ameaça explorar uma vulnerabilidade
	
	Probabilidade de uma ameaça explorar um incidente.
	Respondido em 13/05/2020 23:53:47
	
	
	 
	
	 5a Questão 
	
	
	
	
	Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra um determinado risco está muito além das possibilidades da organização e portanto não vale a pena tratá-lo. Neste caso você:
		
	
	Rejeita o risco
	
	Aceita o risco
	
	Trata o risco a qualquer custo
	
	Ignora o risco
	
	Comunica o risco
	Respondido em 13/05/2020 23:54:03
	
	
	 
	
	 6a Questão 
	
	
	
	
	Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter":
		
	
	Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. 
	
	Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco.
	
	Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. 
	
	Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. 
	
	Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. 
	Respondido em 13/05/2020 23:56:42
	
	
	Gabarito
Coment.
	
	 
	
	 7a Questão 
	
	
	
	
	Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar":
		
	
	Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. 
	
	Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. 
	
	Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. 
	
	Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. 
	
	Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco.
	Respondido em 13/05/2020 23:57:26
	
	
	Gabarito
Coment.8a Questão 
	
	
	
	
	Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da Informação:
		
	
	Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos
	
	Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos
	
	Tudo aquilo que tem origem para causar algum tipo de erro nos ativos
	
	Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes.
	
	Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos
	
		7a aula
		
	 
	Lupa
	 
	 
	
	
PPT
	
MP3
	 
		Exercício: EEX0007_EX_A7_202002047771_V1 
	14/05/2020
	Aluno(a): ALTINO DE JESUS BARBOSA 
	2020.1 EAD 
	Disciplina: EEX0007 - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO  
	202002047771
	
	 1a Questão 
	
	Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 
1) Comitê de segurança da informação. 
2) Controle. 
3) Funções de software e hardware. 
4) Deve ser analisado criticamente. 
5) Política. 
( ) Controle. 
( ) Firewall. 
( ) estrutura organizacional. 
( ) Permissão de acesso a um servidor. 
( ) Ampla divulgação das normas de segurança da informação. 
A combinação correta entre as duas colunas é: 
		
	
	4-3-5-2-1. 
	
	2-3-1-5-4. 
	
	1-2-4-3-5. 
	
	4-3-1-2-5. 
	
	5-1-4-3-2. 
	Respondido em 14/05/2020 05:14:54
	
	
	Gabarito
Coment.
	
	 
	
	 2a Questão 
	
	
	
	
	Os processos que envolvem a gestão de risco são, exceto:
		
	
	Gerenciar as respostas aos riscos
	
	Realizar a análise quantitativa do risco
	
	Realizar a análise qualitativa do risco
	
	Identificar os riscos
	
	Planejar o gerenciamento de risco
	Respondido em 14/05/2020 05:54:56
	
	
	 3a Questão 
	
	O grande objetivo da norma NBR ISO/IEC 27002  é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa. Analise as afirmativas abaixo:
I-A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos.
II-A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização.
III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de gestão de segurança.
 Assinale a opção que contenha apenas afirmações corretas:
		
	
	I, II e III
	
	Apenas III
	
	Apenas I e II
	
	Apenas I e III
	
	Apenas I
	Respondido em 14/05/2020 05:56:40
	
Explicação: 
Todas estão corretas
	 4a Questão 
	
	A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é:
	
	O equipamento de comunicação
	
	O serviço de iluminação
	
	A reputação da organização
	
	O plano de continuidade do negócio.
	
	A base de dados e arquivos
	 5a Questão 
	
	Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.
	
	A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 
	
	Os riscos residuais são conhecidos antes da comunicação do risco. 
	
	Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
	
	Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
	
	Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. 
	 6a Questão 
	
	Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.
	
	Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
	
	Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.
	
	Os riscos residuais são conhecidos antes da comunicação do risco.
	
	Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
	
	A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
	
	 7a Questão 
	
	
	
	
	Quando devem ser executadas as ações corretivas?
		
	
	Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua repetição
	
	Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição 
	
	Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição
	
	Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar a sua repetição
	
	Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição
	Respondido em 14/05/2020 06:23:36
	
	 
	
	 8a Questão 
	
	
	
	
	A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança?
		
	
	Controle de Acesso
	
	Gerenciamento das Operações e Comunicações
	
	Gestão de Incidentes de Segurança da Informação
	
	Segurança Física e do Ambiente.
	
	Gestão da Continuidade do Negócio
		7a aula
		
	 
	Lupa
	 
	 
	
	
PPT
	
MP3
	 
		Exercício: EEX0007_EX_A7_202002047771_V2 
	17/05/2020
	Aluno(a): ALTINO DE JESUS BARBOSA 
	2020.1 EAD 
	Disciplina: EEX0007 - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO  
	202002047771
	
	 
	 1a Questão 
	
	
	
	Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma:
		
	
	Análise/revisão sistemática dos ativos de segurança da informação
	
	Análise/avaliação sistemática dos riscos de segurança da informação
	
	Identificação/avaliação sistemática dos eventos de segurança da informação
	
	Análise/orientação sistemática dos cenários de segurança da informação
	
	Análise/avaliação sistemática dos incidentes de segurança da informação
	Respondido em 17/05/2020 06:29:50
	
	 2a Questão 
	
	
	
	
	Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais: 
		
	
	Classificação da informação, requisitos de negócio e análise de risco
	
	Requisitos de negócio, Análise de risco, Requisitos legais
	
	Análise de risco, análise do impacto de negócio (BIA), classificação da informação
	
	Análise de vulnerabilidades, requisitos legais e classificação da informação
	
	Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais
	Respondido em 17/05/2020 06:30:56
	
 3a Questão 
	
	
	
	
	A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança?
		
	
	Gestão de Incidentes de Segurança da Informação
	
	Gerenciamento das Operações e Comunicações
	
	Segurança Física e do Ambiente.
	
	Gestão da Continuidade do Negócio
	
	Controle de Acesso
	
	 4a Questão 
	
	
	
	
	O grande objetivo da norma NBR ISO/IEC 27002  é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorara gestão de segurança de informação em uma empresa. Analise as afirmativas abaixo:
I-A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos.
II-A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização.
III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de gestão de segurança.
Assinale a opção que contenha apenas afirmações corretas:
		
	
	Apenas III
	
	Apenas I
	
	Apenas I e II
	?
	I, II e III
	
	Apenas I e III
	
Explicação: 
Todas estão corretas
	 5a Questão 
	
	
	
	
	Em relação as normas, analise as afirmações abaixo:
I-Uma norma pode ser definida como um documento que possui uma descrição técnica e precisa de critérios a serem seguidos por todos da empresa
II-As normas possuem como objetivo elevar o nível de confiabilidade dos produtos e serviços que são fornecidos por uma organização.
III-A norma tem a capacidade de apoiar os processos de inovação, porém depende do tamanho da organização. 
 Assinale apenas a opção com afirmações corretas:
		
	
	Apenas I e III
	
	Apenas I e II
	
	Apenas I
	
	Apenas III
	
	I, II e III
	Explicação: 
A III está incorreta, o certo seria:
A norma tem a capacidade de apoiar os processos de inovação, independentemente do tamanho da organização. 
	
	
	 6a Questão 
	
	Marque a alternativa que NÃO representa uma alternativa a mitigação de risco:
		
	
	Limitação de risco 
	
	Prevenção de risco
	
	Aceitação de risco
	
	Transferência de risco
	
	Suposição de risco
	Respondido em 17/05/2020 07:44:54
	
	
	 
	
	 7a Questão 
	
	
	
	
	Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 
1) Comitê de segurança da informação. 
2) Controle. 
3) Funções de software e hardware. 
4) Deve ser analisado criticamente. 
5) Política. 
( ) Controle. 
( ) Firewall. 
( ) estrutura organizacional. 
( ) Permissão de acesso a um servidor. 
( ) Ampla divulgação das normas de segurança da informação. 
A combinação correta entre as duas colunas é: 
		
	
	1-2-4-3-5. 
	
	4-3-5-2-1. 
	
	5-1-4-3-2. 
	
	4-3-1-2-5. 
	
	2-3-1-5-4. 
	
	 8a Questão 
	
	
	
	
	Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção?
		
	
	Diretrizes.
	
	Procedimentos.
	
	Normas.
	
	Relatório Estratégico.
	
	Manuais.
		8a aula
		
	 
	Lupa
	 
	 
	
	
PPT
	
MP3
	 
		Exercício: EEX0007_EX_A8_202002047771_V1 
	17/05/2020
	Aluno(a): ALTINO DE JESUS BARBOSA 
	2020.1 EAD 
	Disciplina: EEX0007 - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO  
	202002047771
	
	 
	
	 1a Questão 
	
	
	
	
	A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo:
I-A norma ISO/IEC 27001 aborda a política de segurança da informação que é uma declaração da empresa em relação ao seu compromisso com a proteção dos ativo da informação
II-inclui a estruturação necessária para definir objetivos e estabelecer a orientação global e os princípios para atividades que envolvam a segurança da informação.
III-Identifica as obrigações dos contratos de segurança, regulamentações e os requisitos da organização;
Assinale apenas a opção que contenha afirmações corretas:
		
	
	Apenas I e II
	
	Apenas II e III
	
	I, II e III
	
	Apenas II
	
	Apenas I
	Respondido em 17/05/2020 04:01:37
	
Explicação: 
Todas estão corretas
	
	
	 
	
	 2a Questão 
	
	
	
	
	Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de:
		
	
	Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
	
	Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização.
	
	Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes
	
	Definir e medir a eficácia dos controles ou grupos de controle selecionados.
	
	Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
	Respondido em 17/05/2020 04:28:27
	
	
	 
	
	 3a Questão 
	
	
	
	
	Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as empresas. Qual do beneficios abaixo são promovidos?
I-Demonstração e garantia de que os requisitos de governança corporativa e de continuidade do negócio estejam sendo atendidos.
II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos;
III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, será possível que os documentos dos processos de segurança da informação sejam formalizados.
 
Assinale a opção que contenha apenas afirmações corretas:
		
	
	I, II e III
	
	Apenas I
	
	Apenas I e III
	
	Apenas III
	
	Apenas II e III
	Respondido em 17/05/2020 05:09:54
	
Explicação: 
Todas estão corretas
	
	
	 
	
	 4a Questão 
	
	
	
	
	A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas.
Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa:
		
	
	É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos.
	
	Esta etapa implementa através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI.
	
	Nesta etapa são colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores. 
	
	Nenhuma das opções anteriores.
	
	Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação. 
	Respondido em 17/05/2020 05:21:42
	
Explicação: 
A primeira etapa do PDCA é o Plan (planejamento), que estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
	
	
	 
	
	 5a Questão 
	
	
	
	
	Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza.Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:
		
	
	II.
	
	III e IV.
	
	I e III.
	
	II e III.
	
	I e II.
	Respondido em 17/05/2020 05:38:05
	
	
	Gabarito
Coment.
	
	 
	
	 6a Questão 
	
	
	
	
	A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é:
		
	
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	
	Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões.
	
	Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI.
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. 
	
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	Respondido em 17/05/2020 05:55:33
	
	
	Gabarito
Coment.
	
	 
	
	 7a Questão 
	
	
	
	
	Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir:
		
	
	A política do BIA.
	
	Identificar e avaliar as opções para o tratamento das vulnerabilidades.
	
	A abordagem de análise/avaliação das vulnerabilidades da organização.
	
	A politica de gestão de continuidade de negócio.
	
	Identificar, Analisar e avaliar os riscos.
	Respondido em 17/05/2020 06:02:23
	
	
	 
	
	 8a Questão 
	
	
	
	
	A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise: 
		
	
	A avaliação dos riscos e incidentes desejados
	
	Os resultados das auditorias anteriores e análises críticas
	
	A avaliação das ações preventivas e corretivas
	
	A realimentação por parte dos envolvidos no SGSI
	
	Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores
		9a aula
		
	 
	Lupa
	 
	 
	
	
PPT
	
MP3
	 
		Exercício: EEX0007_EX_A9_202002047771_V1 
	18/05/2020
	Aluno(a): ALTINO DE JESUS BARBOSA 
	
	Disciplina: EEX0007 - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO  
	202002047771
	
	 
	
	 1a Questão 
	
	
	
	
	Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: 
		
	
	A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos. 
	
	A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. 
	
	A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos. 
	
	A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. 
	Respondido em 18/05/2020 07:12:09
	
	
	 
	
	 2a Questão 
	
	
	
	
	Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade ? 
		
	
	Auditoria interna
	
	Análise de vulnerabilidade
	
	Classificação da informação
	
	Análise de impacto dos negócios (BIA) 
	
	Análise de risco
	Respondido em 18/05/2020 07:12:56
	
	
	Gabarito
Coment.
	
	 
	
	 3a Questão 
	
	
	
	
	Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança?
		
	
	Autenticidade;
	
	Auditoria;
	
	Integridade;
	
	Confidencialidade;
	
	Não-Repúdio;
	Respondido em 18/05/2020 07:13:59
	
	
	Gabarito
Coment.
	
	 
	
	 4a Questão 
	
	
	
	
	A norma NBR ISO/IEC 22313 também adota o ciclo PDCA a fim de utilizar essa ferramenta para planejar, implementar, analisar e melhor a eficiência do sistema de gestão de continuidade do negócio.
Sobre a etapa "DO", qual das alternativas descreve essa etapa:
		
	
	Ocorre a implementação e operação da política de continuidade de negócios, controles, processos e procedimentos.
	
	 Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação.
	
	São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores
	
	É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos.
	
	Nenhuma das opções anteriores
	Respondido em 18/05/2020 07:18:02
	
Explicação: 
A segunda etapa do PDCA é o DO (fazer), que implementa-se o que foi estabelecido na etapa anterior, através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI.
	
	
	 
	
	 5a Questão 
	
	
	
	
	A norma NBR ISO/IEC 22313 também adota o ciclo PDCA a fim de utilizar essa ferramenta para planejar, implementar, analisar e melhor a eficiência do sistema de gestão de continuidade do negócio.
"Ocorre o planejamento e o estabelecimento de uma política de continuidade de negócios, por meio da definição dos objetivos, metas, controles, processos e procedimentos importantes para a melhoria da continuidade de negócios a fim de obter resultados alinhados com os objetivos e políticas gerais da organização."
Essa descrição é sobre qual etapa do ciclo PDCA?
		
	
	Nenhuma das opções anteriores
	
	Plan
	
	Check
	
	Act
	
	DO
	Respondido em 18/05/2020 07:18:32
	
Explicação: 
etapa do planejamento
	
	
	 
	
	 6a Questão 
	
	
	
	
	Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) esteja no nível mais alto da organização? 
		
	
	Para garantir que as metas e objetivos dos usuários não sejam comprometidospor interrupções inesperadas. 
	
	Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções inesperadas. 
	
	Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas. 
	
	Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas. 
	
	Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções inesperadas. 
	Respondido em 18/05/2020 07:24:01
	
	
	 7a Questão 
	
	Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações. 
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento: 
		
	
	Determinando a estratégia de continuidade de negócios. 
	
	Desenvolvendo e implementando uma resposta de GCN. 
	
	Entendendo a organização. 
	
	Testando, mantendo e analisando criticamente os preparativos de GCN. 
	
	Incluindo a GCN na cultura da organização. 
	 8a Questão 
	
	BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios.
		
	
	Natural e Desordenada
	
	Estatística e Ordenada
	
	Qualitativa e Quantitativa
	
	Simples e Objetiva.
	
	Clara e Intelegível
		10a aula
		
	 
	Lupa
	 
	 
	
	
PPT
	
MP3
	 
		Exercício: EEX0007_EX_A10_202002047771_V1 
	18/05/2020
	Aluno(a): ALTINO DE JESUS BARBOSA 
	2020.1 EAD 
	Disciplina: EEX0007 - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO  
	202002047771
	
	 
	
	 1a Questão 
	
	
	
	
	Um problema muito grande que pode ocorrer dentro de uma organização, é a perda de uma determinada informação que não possui cópia. Independentemente do que originou a perda da informação, a organização necessita cita ter condições de recuperar uma informação caso ela tenha sido destruída. Em relação ao Backup das informações assinale a opção que contenha apenas afirmações verdadeiras:
I-A solução de backup em tempo real é a mais eficiente e a que oferece maior grau de certeza de aproveitamento imediato da cópia dos dados perdidos.
II-A escolha do local onde ficarão os dados armazenados não é importante para se enfrentar situações de desastre.
III-Para tomar uma decisão profissional, é necessário analisar as ameaças, avaliar o risco, identificar o nível de perigo e decidir o investimento junto aos diretores da empresa.
		
	
	Apenas I e II
	
	Apenas III
	
	Apenas I e III
	
	I, II e III
	
	Apenas II
	Respondido em 18/05/2020 11:44:51
	
Explicação: 
A questão II é falsa
	
	
	 
	
	 2a Questão 
	
	
	
	
	A sub-rede, também conhecida como rede de perímetro, utilizada para transmitir informações entre uma rede confiável e uma não confiável, mantendo os serviços que possuem acesso externo separados da rede local, é chamada de:
		
	
	Intranet
	
	Firewall
	
	Proxy
	
	DMZ
	
	VPN
	Respondido em 18/05/2020 11:47:01
	
	
	Gabarito
Coment.
	
	 
	
	 3a Questão 
	
	
	
	
	Considerando que um usuário deseje enviar um e-mail criptografado, assinale a alternativa que apresenta a chave do destinatário que esse usuário deverá conhecer para realizar corretamente a criptografia. 
		
	
	Chave criptografada privada 
	
	Chave pública 
	
	Chave privada 
	
	Chave criptografada pública 
	
	Chave certificada 
	Respondido em 18/05/2020 11:52:09
	
	
	 
	
	 4a Questão 
	
	
	
	
	Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INCORRETA : 
		
	
	A Chave Publica não pode ser divulgada livremente, somente a Chave Privada 
	
	A Chave Publica pode ser divulgada livremente 
	
	A Chave Privada deve ser mantida em segredo pelo seu Dono 
	
	Chave Publica e Privada são utilizadas por algoritmos assimétricos 
	
	Cada pessoa ou entidade mantém duas chaves 
	Respondido em 18/05/2020 12:01:03
	
	
	 
	
	 5a Questão 
	
	
	
	
	A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo (inseguro), é conhecida como:
		
	
	zona desmilitarizada (DMZ).
	
	backbone.
	
	wi-fi.
	
	tcp/ip.
	
	pki.
	Respondido em 18/05/2020 12:01:05
	
	
	 
	
	 6a Questão 
	
	
	
	
	Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade certificadora confiável. Uma mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 
1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 
3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores. 
A mensagem de Ana para Bernardo deve ser assinada 
		
	
	e criptografada com a chave privada de Bernardo.
	
	com a chave pública de Ana e criptografada com a chave privada de Bernardo.
	
	com a chave privada de Bernardo e criptografada com a chave pública de Ana.
	
	e criptografada com a chave pública de Ana.
	
	com a chave privada de Ana e criptografada com a chave pública de Bernardo.
	Respondido em 18/05/2020 12:04:40
	
	
	Gabarito
Coment.
	
	 
	
	 7a Questão 
	
	
	
	
	O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de:
		
	
	criptografar os dados enviados através do formulário para impedir que os mesmos sejam interceptados em curso.
	
	testar a aptidão visual do usuário para decidir sobre a folha de estilo CSS a ser utilizada nas páginas subseqüentes.
	
	confirmar a identidade do usuário.
	
	controlar a expiração da sessão do usuário, caso o mesmo possua cookies desabilitados em seu navegador.
	
	confirmar que o formulário está sendo preenchido por um usuário humano e não por um computador.
	Respondido em 18/05/2020 12:05:12
	
	
	 
	
	 8a Questão 
	
	
	
	
	A política de segurança da informação define qual é a filosofia da organização em relação aos acessos dos usuários a fim de assegurar que todas as informações da organização e de seus clientes estejam protegidas contra possíveis danos.A política de segurança da informação define qual é a filosofia da organização em relação aos acessos dos usuários a fim de assegurar que todas as informações da organização e de seus clientes estejam protegidas contra possíveis danos.De quem é a responsabilidade de proteger as informações?
		
	
	Apenas do presidente da empresa
	
	Apenas do gestor de informação.
	
	De todos os funcionários da organização.
	
	Apenas do estagiário.
	
	Apenas o gerente
	Respondido em 18/05/2020 12:06:05
	
Explicação: 
A proteção das informações é de responsabilidade de todos dentro da organização, independentemente de seu nível hierárquico.
		Acertos: 9,0 de 10,0
	18/05/2020
		1a
          Questão 
	Acerto: 1,0  / 1,0 
	
	Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de?
		
	
	Valor.
	
	Risco.
	
	Vulnerabilidade.
	
	Ameaça.
	
	Impacto.
	Respondido em 18/05/2020 12:17:43
	
		2a
          Questão 
	Acerto: 1,0  / 1,0 
	
	As ameaças são os principais perigos a que uma empresa está́ susceptível. Essas ameaças podem ser classificadasem:
· Ameaças intencionais
· Ameaças relacionadas aos equipamentos
· Ameaças relativas a um evento natural
· Ameaças não intencionais
Em relação as ameaças não internacionais, podemos afirmar:
		
	
	Nenhuma das opções acima
	
	São as ameaças divulgadas pela mídia e nas quais os produtos de segurança podem atuar melhor. Podem ser do tipo agentes internos ou externos. Em que agentes externos podem ter acesso ao sistema de várias formas. Apesar do foco dos dispositivos de segurança normalmente ser o agente do tipo externo, a maior parte dos problemas de segurança é provocada por agentes do tipo internos.
	
	são os perigos trazidos pela falta de conhecimento. Por exemplo, um usuário ou administrador de sistema que não tenha recebido treinamento adequado, que não tenha lido a documentação, ou que não tenha entendido a importância do cumprimento das regras de segurança estabelecidas pela organização. A maior parte dos danos causados no sistema surge pela ignorância de usuários ou administradores e não por ações maliciosas.
	
	Quando um equipamento apresenta falhas de hardware ou mesmo de software, seja por defeito ou mesmo por bugs. Colaboradores especializados podem induzir falhas aos sistemas por eles administrados.
	
	Esse grupo de ameaças incluem todos os equipamentos ou instalações físicas de uma empresa, que podem estar sujeitos a fogo, inundações, quedas de energia. É possível minimizar as chances de que o dano seja severo e também fazer um planejamento para a recuperação após a ocorrência de um desastre de ordem natural.
	Respondido em 18/05/2020 12:19:55
	
		3a
          Questão 
	Acerto: 1,0  / 1,0 
	
	Em um processo de análise de riscos em TI, uma avaliação da vulnerabilidade depende das avaliações e....
		
	
	das ameaças e das contramedidas.
	
	dos controles e do risco residual. 
	
	do ativo e dos controles. 
	
	do risco e dos controles. 
	
	do ativo e das ameaças. 
	Respondido em 18/05/2020 12:23:00
	
	
	Gabarito
Coment.
	
	
		4a
          Questão 
	Acerto: 1,0  / 1,0 
	
	Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? 
		
	
	Captura de senhas bancárias e números de cartões de crédito;
	
	Captura de outras senhas usadas em sites de comércio eletrônico;
	
	Alteração da página inicial apresentada no browser do usuário;
	
	Monitoramento de URLs acessadas enquanto o usuário navega na Internet
	
	Alteração ou destruição de arquivos;
	Respondido em 18/05/2020 12:23:46
	
		5a
          Questão 
	Acerto: 1,0  / 1,0 
	
	Ataques a sistemas de computação são tipos de crimes virtuais que visam, entre outras coisas, obter informações que se encontram em sistemas alheios. Crimes dos quais todos os internautas e empresas correm o risco de sofrer, mas que nem sempre sabem exatamente o que são, como agem e quais danos podem vir a causar aos computadores e sistemas. Qual dos itens abaixo "não" pertence ao ciclo de um ataque:
		
	
	Obtenção do acesso.
	
	Camuflagem das evidências.
	
	Exploração das informações.
	
	Quebra de sigilo bancário.
	
	Levantamento das informações.
	Respondido em 18/05/2020 12:26:24
	
	
	Gabarito
Coment.
	
	
		6a
          Questão 
	Acerto: 1,0  / 1,0 
	
	Em relação à avaliação de riscos, analise as afirmações abaixo:
I-A  primeira etapa do processo será de avaliar e dimensionar os riscos.
II-Essa avaliação possui como foco determinar a extensão dos potenciais de ameaças e quais são os riscos associados. 
III-O resultado dessa análise não promoverá viabilidade a gestão de riscos e assim será possível identificar maneiras para controlar e/ou minimizar os riscos.
 
Assinale apenas a opção com afirmações corretas:
		
	
	Apenas II e III
	
	I , II e III
	
	Apenas I e III
	
	Apenas I e II
	
	Apenas III
	Respondido em 18/05/2020 12:40:58
	
		7a
          Questão 
	Acerto: 1,0  / 1,0 
	
	Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar:
		
	
	Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
	
	A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos.
	
	Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações.
	
	Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência.
	
	Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra.
	Respondido em 18/05/2020 12:42:32
	
		8a
          Questão 
	Acerto: 0,0  / 1,0 
	
	A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo:
I-Estabelece os limites e critérios para definir quais os riscos que serão avaliados;
II-A norma ISO/IEC 27001 é certificadora, o que significa que é utilizada por institutos credenciados em diversos países.
III-A norma NBR ISO/IEC 27001 também apresenta como objetivo especificar os requisitos de um Sistema de Gestão de Segurança da Informação (SGSI), que é baseado nos riscos da organização.
 
Assinale a opção que contenha apenas afirmações corretas:
		
	
	Apenas I e III
	
	Apenas I
	
	Apenas II
	
	Apenas III
	
	I, II e III
	Respondido em 18/05/2020 12:52:36
	
		9a
          Questão 
	Acerto: 1,0  / 1,0 
	
	Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: 
		
	
	A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos. 
	
	A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. 
	
	A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. 
	
	A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos. 
	Respondido em 18/05/2020 12:55:49
	
		10a
          Questão 
	Acerto: 1,0  / 1,0 
	
	Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar : 
		
	
	Um firewall com estado
	
	Um filtro de pacotes
	
	Um detector de intrusão
	
	Um servidor proxy
	
	Um roteador de borda