Baixe o app para aproveitar ainda mais
Prévia do material em texto
Aula 1 1a Questão Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no estudo e implementação de um processo de gestão de segurança em uma organização? Vulnerabilidade. Risco. Impacto . insegurança Ameaça. Respondido em 14/04/2020 10:44:47 2a Questão Política de segurança é composta por um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade. Após sua criação ela deve ser: Escondida de toda a organização para garantir sua confidencialidade, integridade e disponibilidade. Comunicada apenas ao setor de tecnologia da informação de maneria rápida para que todos possam se manter focados no trabalho. Comunicada a toda a organização para os usuários de uma forma que seja relevante, acessível e compreensível para o público-alvo. Comunicada apenas aos usuários que possuem acesso à Internet. Armazenada em local seguro com acesso apenas por diretores e pessoas autorizadas. Respondido em 14/04/2020 10:47:35 Gabarito Coment. 3a Questão Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta situação? Passivo Tangível Intangível Ativo Abstrato Respondido em 14/04/2020 10:49:41 4a Questão Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedade e que permitem a organização deste ativos em grupos com características semelhantes no que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções abaixo define a classificação dos tipos de ativos? Contábil e Não Contábil. Material e Tangível. Intangível e Qualitativo. Tangível e Intangível. Tangível e Físico. Respondido em 14/04/2020 10:50:50 5a Questão Trata-se de " [...] uma sequência de símbolos quantificados ou quantificáveis. [...]" Também são ______ fotos, figuras, sons gravados e animação." Tal conceito refere-se a: Nenhuma da alternativas anteriores Informação Sistemas de Informação Dado Conhecimento Respondido em 14/04/2020 10:53:33 6a Questão Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 (três) aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança da Informação". Quais elementos compõem a tríade da segurança da informação? Disponibilidade, Privacidade e Segurabilidade Privacidade, Governabilidade e Confidencialidade Confiabilidade, Integridade e Disponibilidade Autenticidade, Legalidade e Privacidade Integridade, Legalidade e Confiabilidade Respondido em 14/04/2020 10:58:20 7a Questão Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas: I-A informação de uma empresa na maioria das vezes pode ser pública, para que prejudique o funcionamento, integridade, estratégias e tomadas de decisões da empresa. II-A informação torna-se um dos ativos mais importantes e valiosos dentro de uma organização, pois são cruciais para a eficácia das estratégias de uma empresa. III-A informação é primordial para realizar com eficácia todos os processos de uma empresa, sendo assim um elemento que pode conduzir a empresa ao sucesso ou ao fracasso caso essas informações não estejam corretas Somente III Somente I I, II e III Somente I e III Somente II e III Respondido em 14/04/2020 11:00:22 Explicação: O certo seria: A informação de uma empresa na maioria das vezes não pode ser pública, para que não prejudique o funcionamento, integridade, estratégias e tomadas de decisões da empresa. 8a Questão A informação pode ser classificada em níveis de prioridade dentro da organização, conforme segue: I. Informação pública: deveria ter o livre acesso evitado, embora não haja consequências prejudiciais/sérias do acesso e uso não autorizado. A integridade deste tipo de informação é importante, porém não vital. II. Informação Interna: pode vir ao público sem consequências prejudiciais ao funcionamento normal da empresa e cuja integridade não é vital. III. Informação Confidencial: é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em desequilíbrio operacional e, eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo. IV. Informação Secreta: muito crítica para as atividades da empresa e cuja integridade deve ser preservada a qualquer custo. O acesso deve ser restrito, e a segurança deste tipo de informação é crucial/vital para a empresa. Após a leitura, assinale a alternativa correta sobre as asserções supracitadas: Somente as asserções III e IV estão corretas Somente as asserções I e II estão corretas Somente as asserções II e IV estão corretas Somente as asserções I e III estão corretas Somente as asserções I, II e III estão corretas Respondido em 14/04/2020 11:02:41 Explicação: · Informação pública: Informação que pode vir ao público sem consequências prejudiciais ao funcionamento normal da empresa e cuja integridade não é vital; · Informação Interna: Informação que deveria ter o livre acesso evitado, embora não haja consequências prejudiciais/sérias do acesso e uso não autorizado. A integridade deste tipo de informação é importante, porém não vital; · Informação Confidencial: Informação que é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em desequilíbrio operacional e, eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo; · Informação Secreta: Informação muito crítica para as atividades da empresa e cuja integridade deve ser preservada a qualquer custo. O acesso deve ser restrito, e a segurança deste tipo de informação é crucial/vital para a empresa. Aula 2 1a Questão Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para as organizações quando tratamos de Segurança da Informação? Valor de troca. Valor de orçamento. Valor de uso. Valor de restrição. Valor de propriedade. Respondido em 15/04/2020 07:41:59 Gabarito Coment. 2a Questão Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade¿. Esta afirmação é: falsa, pois não existe alteração de nível de segurança de informação. verdadeira desde que seja considerada que todas as informações são publicas. verdadeira se considerarmos que o nível não deve ser mudado. verdadeira, pois a classificação da informação pode ser sempre reavaliada. falsa, pois a informação não deve ser avaliada pela sua disponibilidade. Respondido em 15/04/2020 07:43:05 3a Questão A assinatura digital permite comprovar ______________ e Integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. O Não-repúdio A Legalidade A autenticidade A Disponibilidade A Confidencialidade Respondido em 15/04/2020 07:43:41 4a Questão Podemos dizer que os controles que reduzema probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: Medidas Corretivas e Reativas Métodos Quantitativos Métodos Detectivos Medidas Preventivas Medidas Perceptivas Respondido em 15/04/2020 07:44:36 5a Questão Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de ¿Ativo de Informação¿? São aqueles que produzem, processam, reúnem ou expõem informações. São aqueles que produzem, processam, transmitem ou armazenam informações. São aqueles tratam, administram, isolam ou armazenam informações. São aqueles que organizam, processam, publicam ou destroem informações. São aqueles que constroem, dão acesso, transmitem ou armazenam informações. Respondido em 15/04/2020 07:49:21 Gabarito Coment. Gabarito Coment. 6a Questão O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que por sua vez, mantêm a operação da empresa. Estes momentos são denominados: Iniciação, processamento, utilização e remoção Manuseio, armazenamento, transporte e descarte Criação, compartilhamento, utilização e descarte Criação, utilização, armazenamento e compartilhamento Manuseio, transporte, compartilhamento e remoção Respondido em 15/04/2020 07:50:43 Gabarito Coment. 7a Questão Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como o banco pode garantir-se de que, posteriormente, João venha a afirmar que não foi ele quem fez o acesso? Neste caso estamos falando de: Disponibilidade Confidencialidade Não-repúdio Integridade Autenticação Respondido em 15/04/2020 07:51:14 Gabarito Coment. 8a Questão A assinatura digital permite comprovar a autenticidade e ______________ de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. a disponibilidade a integridade o não-repúdio a confidencialidade a legalidade Respondido em 15/04/2020 07:52:41 Aula 3 1a Questão Analise o trecho abaixo: "Além da falta de água nas torneiras, a crise hídrica começa agora a afetar também a distribuição de energia elétrica no país. Cidades de ao menos sete unidades federativas do Brasil e no Distrito Federal registraram cortes severos, na tarde desta segunda-feira." Jornal O DIA, em 19/01/2015. Neste caso as empresas de Tecnologia que estão localizadas no município apresentam a vulnerabilidade do tipo: Comunicação Natural Hardware Mídia Física Respondido em 22/04/2020 14:45:23 Gabarito Coment. 2a Questão Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas: I-A Criptografia é uma técnica que permite transformar informações em uma forma ilegível com a finalidade de ser reconhecida apenas pelo destinatário devido. II-A criptografia pode ser conceituada como uma ciência que usa algoritmos para criptografar os dados de uma maneira não legível. III- A encriptação é o processo contrário da criptografia, em que os dados encriptados são transformados em sua forma original legível. Somente I e III Somente III Somente II e III Somente I e II I, II e III Respondido em 22/04/2020 14:47:18 Explicação: A decriptação é o processo contrário da criptografia, em que os dados encriptados são transformados em sua forma original legível. 3a Questão O processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções pode ser descrito em qual das opções abaixo? Analise de Escopo Ameaça Análise de Vulnerabilidade Analise de Incidente Ativo Respondido em 22/04/2020 14:48:31 Gabarito Coment. 4a Questão Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "engenheiros". Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo "engenheiros" acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Disponibilidade Auditoria Confidencialidade Autenticidade Integridade Respondido em 22/04/2020 14:49:17 Gabarito Coment. Gabarito Coment. 5a Questão As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware: Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. Respondido em 22/04/2020 14:52:18 Gabarito Coment. 6a Questão Relacione a primeira coluna com a segunda: A. Área de armazenamento sem proteção 1. ativo B. Estações de trabalho 2. vulnerabilidade C. Falha de segurança em um software 3. ameaça D. Perda de vantagem competitiva 4. impacto E. Roubo de informações 5. medida de segurança F. Perda de negócios G. Não é executado o "logout" ao término do uso dos sistemas H. Perda de mercado I. Implementar travamento automático da estação após período de tempo sem uso J. Servidores K. Vazamento de informação A2, B1, C2, D3, E3, F3, G2, H4, I5, J1, K4. A2, B1, C3, D3, E3, F4, G2, H4, I5, J1, K4. A2, B1, C3, D3, E4, F4, G2, H4, I5, J1, K3. A2, B1, C2, D4, E4, F4, G2, H4, I5, J1, K3. A2, B1, C2, D4, E3, F4, G2, H4, I5, J1, K3. Respondido em 22/04/2020 14:56:29 Gabarito Coment. 7a Questão Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Mídias Vulnerabilidade Natural Vulnerabilidade Software Vulnerabilidade Comunicação Vulnerabilidade Física Respondido em 22/04/2020 14:59:02 Gabarito Coment.8a Questão As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Natural Vulnerabilidade de Software Vulnerabilidade Comunicação Vulnerabilidade Física Vulnerabilidade Mídia Respondido em 22/04/2020 15:00:44 1a Questão Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador pode ser descrito como sendo um: exploit backdoor keylogger spyware vírus Respondido em 28/04/2020 14:55:29 2a Questão Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um: exploit cavalo de tróia (trojan horse) vírus active-x worm Respondido em 28/04/2020 14:57:51 3a Questão Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? Fraco Passivo Forte Secreto Ativo Respondido em 28/04/2020 14:59:18 Gabarito Coment. 4a Questão Uma das primeiras ameaças que as redes estão susceptíveis são os vírus. Os vírus são programadas desenvolvidos para alterar de forma nociva softwares instalados em uma rede. Sobre os vírus assinale apenas a opção que contenha apenas as opções verdadeiras: I-O vírus é um programa normalmente malicioso que propaga-se na rede realizando cópias de si mesmo. II-Para que o vírus se torne ativo é necessário que o mesmo seja executado pelo programa infectado. III- Um vírus executa diretamente suas cópias e explora diretamente as vulnerabilidades existentes na rede de computadores Apenas I Apenas I e II Apenas II I, II e III Apenas I e III Respondido em 28/04/2020 15:01:40 Explicação: A afirmativa III refere-se a um WORM 5a Questão Você pode perceber que é importante detectar, analisar e depois ¿atacar¿ as ameaças em que as organizações estão susceptíveis.Em relação as redes de computadores, as ameaças podem surgir através de agente maliciosos, como os Crakers. Assinale apenas a alternativa que contenha apenas as afirmações corretas: I-Cracker é uma pessoa que invade um sistema de segurança com o objetivo de roubar ou destruir informações dos sistemas. II-Os Cracker não possuem como objetivo invadir um sistema com a intenção de causar algum dano especifico. III-Os crackers já possuem características opostas, eles possuem prática na quebra da segurança dos sistemas e softwares e utilizam o conhecimento adquirido de forma a causar algum dano e de forma ilegal. Apenas I Apenas II Apenas I e III Apenas I e II I, II e III Respondido em 28/04/2020 15:50:27 Explicação: A Qquestão II refere-se a um Hacker. 6a Questão Pedro construiu um software malicioso capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Neste caso o programa poderá afetar o desempenho da rede e a utilização do computador. Neste caso podemos afirmar que Pedro construiu um: Keylogger Worm Backdoor Screenlogger Trojan Respondido em 28/04/2020 15:53:24 7a Questão Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( ) Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: 5, 2, 4, 3, 1. 3, 1, 4, 5, 2. 3, 1, 5, 2, 4. 5,1,4,3,2. 3, 2, 4, 5, 1. 8a Questão Com relação as ameaças aos sistema de informação, assinale a opção correta: Bot é um programa capaz de se propagar, automaticamente, por rede, pois envia cópias de si mesmo de computador para computador, por meio de execução direta ou por exploração automática das vulnerabilidades existentes em programas instalados em computadores. Backdoor é um programa que permite o acesso de uma máquina a um invasor de computador, pois assegura a acessibilidade a essa máquina em modo remoto, sem utilizar, novamente, os métodos de realização da invasão. Vírus é um programa que monitora as atividades de um sistema e envia informações relativas a essas atividades para terceiros. Um exemplo é o vírus keylogger que é capaz de armazenar os caracteres digitados pelo usuário de um computador. Spyware é um programa que permite o controle remoto do agente invasor e é capaz de se propagar automaticamente, pois explora vulnerabilidades existentes em programas instalados em computadores. Worm é um programa ou parte de um programa de computador, usualmente malicioso, que se propaga ao criar cópias de si mesmo e, assim, se torna parte de outros programas e arquivos. Aula 5 1a Questão Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque? Exploração das Informações Divulgação do Ataque Levantamento das Informações Obtenção de Acesso Camuflagem das Evidências Respondido em 05/05/2020 14:38:15 2a Questão Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Manutenção do acesso" nesta receita: Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans. Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira,na utilização indevida dos recursos computacionais. Respondido em 05/05/2020 14:44:31 Gabarito Coment. 3a Questão João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? Fragmentação de pacotes IP SYN Flooding Ip Spoofing Port Scanning Fraggle Respondido em 05/05/2020 14:48:29 4a Questão Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu objetivo o invasor tentará levantar estas informações através da escuta das portas do protocolo TCP e UDP. Neste caso estamos nos referindo a um ataque do tipo: Port Scanning Three-way-handshake Fraggle Fragmentação de Pacotes IP SYN Flooding Respondido em 05/05/2020 14:50:30 5a Questão João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando derrubar à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? Fragmentação de pacotes IP Ip Spoofing Port Scanning SYN Flooding Fraggle Respondido em 05/05/2020 14:51:22 Gabarito Coment. 6a Questão Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP , que foi mascarado pelo atacante. Fraggle Phishing Scan Smurf Shrink Wrap Code Dumpster Diving ou Trashing Respondido em 05/05/2020 14:52:47 Gabarito Coment. 7a Questão Qual o nome do ataque que tem o intuito de enviar uma quantidade em "massa" de e-mails muitas das vezes indesejáveis ? Spyware Backdoor Spam Adware Rootkit Respondido em 05/05/2020 14:54:00 Gabarito Coment. 8a Questão O ataque é derivado de uma ameaça que tenta violar os serviços de segurança de um sistema usando uma técnica eficienteOs ataques podem ser divididos em passivo e ativo. Em relação aos ataques assinale a opção que contenha apenas afirmações verdadeiras: I-Ataques passivos: o atacante apenas intercepta e monitora as informações transmitidas. No ataque passivo as informações não são modificadas. II-Um ataque terá sucesso quando conseguir explorar um ativo de rede de um sistema computacional. III-Ataques passivos: o atacante apenas intercepta e monitora as informações transmitidas. No ataque passivo as informações não são modificadas. I , II e III Apenas III Apenas I Apenas II e III Apenas I e II Respondido em 05/05/2020 14:57:28 Explicação: Todas são corretas Aula 6 1a Questão Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta especificamente um dos três elementos da tríade da segurança da informação. Qual é o ataque ? 0day Spyware Backdoor DoS/DDoS Adware Respondido em 12/05/2020 11:46:23 Gabarito Coment. 2a Questão A segurança da informação deve ser vista como algo estratégico dentro da organização. E a organização deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da organização criar um plano de gestão voltado para riscos é criando um Plano de Gestão de Risco (PGI). O PGI é composto por 4 fases, quais são elas? Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; Comunicação do impacto Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; Mapeamento de impacto Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco Respondido em 12/05/2020 11:58:28 Gabarito Coment. 3a Questão Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de obter informações pessoais de usuários de sites da Internet ou site corporativo ? Spyware Phishing Defacement Backdoor Rootkit Respondido em 12/05/2020 12:01:58 4a Questão Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles (soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" na Análise e Avaliação dos Riscos: Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita. A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco.O risco é representando em termos de possíveis perdas financeiras. Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização. Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo. Respondido em 12/05/2020 12:13:17 Gabarito Coment. 5a Questão É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Qual das opções abaixo Não representa um destes propósitos? Conformidade Legal e a evidência da realização dos procedimentos corretos Preparação de um plano para aceitar todos os Riscos Descrição dos requisitos de segurança da informação para um produto. Preparação de um plano de continuidade de negócios. Preparação de um plano de respostas a incidentes. Respondido em 12/05/2020 12:14:32 Gabarito Coment. 6a Questão Qual das opções abaixo não representa uma das etapas da Gestão de Risco: Selecionar, implementar e operar controles para tratar os riscos. Manter e melhorar os controles Verificar e analisar criticamente os riscos. Identificar e avaliar os riscos. Manter e melhorar os riscos identificados nos ativos Respondido em 12/05/2020 12:15:14 Gabarito Coment. 7a Questão Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ? Spyware Spammer Rootkit Bot/Botnet Phishing Respondido em 12/05/2020 12:15:47 Gabarito Coment. 8a Questão Em relaçãoà analise de risco, analise as afirmativas abaixo: I-Essa análise não é de grande relevância para que as organizaçõesdecidam quais os riscos exigirão maior atenção e investimentosuos. II-Uma organização não gastará tempo e investimentos para solucionar riscos que possuem uma chance pequena de ocorrer ou que provocará danos mínimos a organização. III-Após a coleta das informações e da inserção no registrador de riscos, a próxima etapa será realizar a análise e identificação dos riscos com a finalidade de classificá-los. Assinale apenas a opção com afirmações corretas: I, II e III Apenas I e II Apenas II e III Apenas I Apenas III Respondido em 12/05/2020 12:16:56 Explicação: A afirmativa I é falsa Aula 7 1a Questão Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Respondido em 12/05/2020 15:44:29 2a Questão Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? Autenticidade; Confidencialidade; Integridade; Auditoria; Não-Repúdio; Respondido em 12/05/2020 15:45:13 Gabarito Coment. 3a Questão A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é: O plano de continuidade do negócio. A reputação da organização O equipamento de comunicação O serviço de iluminação A base de dados e arquivos Respondido em 12/05/2020 15:46:39 4a Questão Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: Análise/revisão sistemática dos ativos de segurança da informação Análise/avaliação sistemática dos riscos de segurança da informação Análise/avaliação sistemática dos incidentes de segurança da informação Identificação/avaliação sistemática dos eventos de segurança da informação Análise/orientação sistemática dos cenários de segurança da informação Respondido em 12/05/2020 15:48:02 5a Questão Sobre NBR ISO/IEC 27002 analise as opções abaixo: I- O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa. II-A norma NBR ISO/IEC 27002 não deve ser aplicada a todos os tipos de organizações. III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de gestão de segurança. Assinale a opção que contenha apenas afirmações corretas: Apenas III Apenas I Apenas I e III I, II e III Apenas II Respondido em 12/05/2020 15:49:50 Explicação: O certo seria: A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos 6a Questão A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos levando-se em conta os objetivos e _________________ globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ____________ e do impacto potencial ao negócio. oportunidades, vulnerabilidades estratégias, ameaças oportunidades, ações especulações, ameaças determinações, ações Respondido em 12/05/2020 15:52:27 7a Questão Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos? Diretrizes; Manuais e Procedimentos Diretrizes; Normas e Procedimentos Manuais; Normas e Relatórios Manuais; Normas e Procedimentos Diretrizes; Normas e Relatórios Respondido em 12/05/2020 15:53:51 8a Questão O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa.A norma deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos. A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização. Essa descrição está relacionada com qual norma? NBR ISO/IEC 28002 NBR ISO/IEC 7002 NBR ISO/IEC 27012 NBR ISO/IEC 27002 NBR ISO/IEC 27052 Respondido em 12/05/2020 15:55:12 Explicação: NBR ISO/IEC 27002 Aula 8 1. A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI. Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. Gabarito Coment. 2. Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI Sistema de gestão de segurança da informação, classificação da informação,auditoria internas e análise de risco. Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI Gabarito Coment. 3. A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo: I-Estabelece os limites e critérios para definir quais os riscos que serão avaliados; II-A norma ISO/IEC 27001 é certificadora, o que significa que é utilizada por institutos credenciados em diversos países. III-A norma NBR ISO/IEC 27001 também apresenta como objetivo especificar os requisitos de um Sistema de Gestão de Segurança da Informação (SGSI), que é baseado nos riscos da organização. Assinale a opção que contenha apenas afirmações corretas: Apenas II Apenas I Apenas III Apenas I e III I, II e III Explicação: Todas são verdadeiras 4. A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas. Em relaçao a etapa "Check", qual das alternativas abaixo descreve essa etapa: Nesta etapa implementa-se através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI. São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores. Nenhuma das opções anteriores. É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação. Explicação: Na fase Check (checar) é realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. Esse monitoramento dos riscos é muito importante, já que raramente os riscos permaneceram estáticos. Dessa forma, esse processo evitará que ameaças aumentem o nível de riscos. 5. Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações? Administrativa, Física e Lógica. Lógica, Administrativa e Contábil. Administrativa, Física e Programada. Administrativa, Contábil e Física. Lógica, Física e Programada. Gabarito Coment. 6. Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. Definir e medir a eficácia dos controles ou grupos de controle selecionados. 7. A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Prevenção e Preventivas. Corretivas e Correção. Corretivas e Corrigidas. Corrigidas e Preventivas. Corretivas e Preventivas. 8. Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as empresas. Qual do beneficios abaixo são promovidos? I-Demonstração e garantia de que os requisitos de governança corporativa e de continuidade do negócio estejam sendo atendidos. II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos; III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, será possível que os documentos dos processos de segurança da informação sejam formalizados. Assinale a opção que contenha apenas afirmações corretas: Apenas II e III Apenas I e III Apenas III I, II e III Apenas I Explicação: Todas estão corretas Aula 9 1a Questão O Plano de Continuidade do Negócio...... define uma ação de continuidade imediata e temporária. prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais. não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação. deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não. Respondido em 19/05/2020 13:46:32 2a Questão A gestão de continuidade de negócios (GCN) faz parte de um processo que possibilita que uma organização lide com os incidentes de interrupção que poderiam impedi-la de atingir seus objetivos. Sobre a GCN analise as afirmativas abaixo: I-A continuidade de negócios pode ser descrita pela capacidade de continuar a entregar seus produtos e serviços em níveis aceitáveis após a ocorrência de um incidente de interrupção. II-Através da integração da gestão de continuidade de negócios (GCN) e de uma estrutura sistêmica de gestão da organização é que criamos um Sistema de Gestão de Continuidade de Negócios (SGCN). III-O SGCN pode ser aplicado apenas em empresas de porte grande. Assinale a opção que contenha apenas afirmações verdadeiras: Apenas I Apenas I e III I, II e III Apenas I e II Apenas III Respondido em 19/05/2020 13:52:15 Explicação: O SGCN pode ser aplicado em empresas de porte grande, médio e pequeno e que operem em setores industrial, comercial, público e sem fins lucrativos. 3a Questão Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) esteja no nível mais alto da organização? Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupçõesinesperadas. Respondido em 19/05/2020 13:54:26 Gabarito Coment. 4a Questão Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação relacionada à: Não-Repúdio; Auditoria; Integridade; Confidencialidade; Autenticidade; Respondido em 19/05/2020 13:55:29 5a Questão Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? Auditoria; Não-Repúdio; Confidencialidade; Integridade; Autenticidade; Respondido em 19/05/2020 13:55:53 Gabarito Coment. 6a Questão Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações. No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento: Desenvolvendo e implementando uma resposta de GCN. Determinando a estratégia de continuidade de negócios. Entendendo a organização. Testando, mantendo e analisando criticamente os preparativos de GCN. Incluindo a GCN na cultura da organização. Respondido em 19/05/2020 14:06:08 Gabarito Coment. 7a Questão A norma NBR ISO/IEC 22313 também adota o ciclo PDCA a fim de utilizar essa ferramenta para planejar, implementar, analisar e melhor a eficiência do sistema de gestão de continuidade do negócio. Sobre a etapa "DO", qual das alternativas descreve essa etapa: Ocorre a implementação e operação da política de continuidade de negócios, controles, processos e procedimentos. Nenhuma das opções anteriores Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. Respondido em 19/05/2020 14:11:49 Explicação: A segunda etapa do PDCA é o DO (fazer), que implementa-se o que foi estabelecido na etapa anterior, através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI. 8a Questão Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)? O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados. O PRD é mais abrangente que o PCN. O PCN só pode ser implementado se o PRD já tiver em uso. O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-se na continuidade para todos os processos. O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação. AVALIAÇÃO 1a Questão Acerto: 1,0 / 1,0 Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma empresa. Neste contexto qual o objetivo fundamental da ¿Segurança da Informação¿? Visam à proteção alguns poucos ativos de uma empresa que contêm informações. Visa à proteção dos equipamentos de uma empresa que contêm informações. Visa principalmente à proteção dos ativos patrimoniais que contêm informações. Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informações. Visa à proteção de todos os ativos de uma empresa que contêm informações. Respondido em 28/05/2020 15:00:39 2a Questão Acerto: 1,0 / 1,0 Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para as organizações quando tratamos de Segurança da Informação? Valor de restrição. Valor de troca. Valor de uso. Valor de propriedade. Valor de orçamento. Respondido em 28/05/2020 15:01:08 Gabarito Coment. 3a Questão Acerto: 0,0 / 1,0 Uma pesquisa realizada pelos organizadores da Conferência Infosecurity Europe 2003 com trabalhadores de escritórios, que distribuía um brinde (de baixo valor) aos entrevistados, revelou que 75% deles se dispunham a revelar suas senhas em resposta a uma pergunta direta ("Qual é a sua senha?"), e outros 15% responderam a perguntas indiretas que levariam à determinação da senha. Esse experimento evidencia a grande vulnerabilidade dos ambientes computacionais a ataques de que tipo? Acesso físico. Back doors. Engenharia social. Cavalos de tróia. Vírus de computador. Respondido em 28/05/2020 15:02:16 Gabarito Coment. 4a Questão Acerto: 1,0 / 1,0 Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? Interna e Oculta Conhecida e Externa Secreta e Externa Secreta e Oculta Interna e Externa Respondido em 28/05/2020 15:03:23 5a Questão Acerto: 1,0 / 1,0 Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções abaixo Não representa um destes tipos de ataques? Ataques Genéricos Ataque de Configuração mal feita Ataque à Aplicação Ataque aos Sistemas Operacionais Ataque para Obtenção de Informações Respondido em 28/05/2020 15:09:10 6a Questão Acerto: 1,0 / 1,0 Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar": Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Respondido em 28/05/2020 15:15:23 Gabarito Coment. 7a Questão Acerto: 0,0 / 1,0 A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança? Desenvolvimento e Manutenção de Sistemas Gerenciamento das Operações e Comunicações Segurançaem Recursos Humanos Segurança Física e do Ambiente Controle de Acesso Respondido em 28/05/2020 15:19:06 8a Questão Acerto: 1,0 / 1,0 A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Prevenção e Preventivas Corrigidas e Preventivas Corretivas e Preventivas Corretivas e Correção Corretivas e Corrigidas Respondido em 28/05/2020 15:20:13 9a Questão Acerto: 0,0 / 1,0 O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"? A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa. Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. Respondido em 28/05/2020 15:28:54 Gabarito Coment. 10a Questão Acerto: 1,0 / 1,0 Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente físico e, até mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de contingência que melhor conduza o objeto a operar sob um nível de risco controlado. Nas estratégias de contingência possíveis de implementação, qual a estratégia que está pronta para entrar em operação assim que uma situação de risco ocorrer? Hot-site Acordo de reciprocidade Warm-site Realocação de operação Cold-site AVALIAÇÃO AV-2 1a Questão Acerto: 1,0 / 1,0 Todo tipo de complemento da tarefa dentro de uma corporação requer informação. A comunicação é requerida para assegurar que estas informações provêm para a pessoa responsável pela tarefa. Sendo a informação o elemento fundamental para todos os processos de negócio da organização, leia as asserções abaixo e, a seguir, assinale a alternativa correta: I. A informação é um bem ou ativo de grande valor, podendo levar a organização do sucesso ao fracasso, em função de impactos financeiros, operacionais ou de imagem, ocasionados por falhas, erros ou fraudes no uso da informação; II. A informação passou a ser um recurso estratégico para as organizações, possibilitando a geração de conhecimento e apoiando o processo de tomada de decisões. Em virtude disto, o grau de proteção e preocupação com estas informações diminuiu consideravelmente; III. As informações trafegadas intermitentemente pela organização caracterizam-se por serem um dos seus ativos mais valiosos. Somente as asserções I e II estão corretas Somente a asserção III está correta Somente a asserção II está correta Somente as asserções II e III estão corretas Somente as asserções I e III estão corretas Respondido em 30/05/2020 08:36:46 2a Questão Acerto: 1,0 / 1,0 Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança? Secreta. Interna. Irrestrito. Pública. Confidencial. Respondido em 30/05/2020 08:44:34 3a Questão Acerto: 1,0 / 1,0 Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos definir o que são vulnerabilidades: Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações. Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computadores, incendiários. São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. Respondido em 30/05/2020 08:46:48 4a Questão Acerto: 1,0 / 1,0 Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? Fraco Passivo Ativo Forte Secreto Respondido em 30/05/2020 08:54:02 Gabarito Coment. 5a Questão Acerto: 1,0 / 1,0 Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas do protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em cada porta. Qual seria este ataque: Packet Sniffing. Ip Spoofing. Fraggle. Syn Flooding. Port Scanning. Respondido em 30/05/2020 09:00:42 Gabarito Coment. 6a Questão Acerto: 1,0 / 1,0 Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: Melhorar a efetividade das decisões para controlar os riscos Manter a reputação e imagem da organização Eliminar os riscos completamente e não precisar mais tratá-los Entender os riscos associados ao negócio e a gestão da informação Melhorar a eficácia no controle de riscos Respondido em 30/05/2020 09:04:26 Gabarito Coment. 7a Questão Acerto: 1,0 / 1,0 O grande objetivo da norma NBR ISO/IEC 27002 é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa. Analise as afirmativas abaixo: I-A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizaçõesseja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos. II-A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização. III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de gestão de segurança. Assinale a opção que contenha apenas afirmações corretas: Apenas I I, II e III Apenas III Apenas I e III Apenas I e II Respondido em 30/05/2020 09:17:26 8a Questão Acerto: 1,0 / 1,0 Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: I e III. I e II. II. III e IV. II e III. Respondido em 30/05/2020 09:19:41 Gabarito Coment. 9a Questão Acerto: 1,0 / 1,0 O Plano de Continuidade do Negócio...... não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação. precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais. deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não. prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. define uma ação de continuidade imediata e temporária. Respondido em 30/05/2020 09:20:38 10a Questão Acerto: 1,0 / 1,0 Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus componentes ? Redes Não Confiáveis - Não é possível informar se necessitam de proteção. Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de proteção Redes Não Confiáveis - Não possuem controle da administração. Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou não confiável. Redes Não Confiáveis - Não possuem políticas de segurança.
Compartilhar