Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
Exercicios - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Faça como milhares de estudantes: teste grátis o Passei Direto
Esse e outros conteúdos desbloqueados
16 milhões de materiais de várias disciplinas
Impressão de materiais
Agora você pode testar o
Passei Direto grátis
Compartilhar
Prévia do material em texto
Aula 1
1a Questão
Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no estudo e implementação de um processo de gestão de segurança em uma organização?
Vulnerabilidade.
Risco.
Impacto .
insegurança
Ameaça.
Respondido em 14/04/2020 10:44:47
2a Questão
Política de segurança é composta por um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade. Após sua criação ela deve ser:
Escondida de toda a organização para garantir sua confidencialidade, integridade e disponibilidade.
Comunicada apenas ao setor de tecnologia da informação de maneria rápida para que todos possam se manter focados no trabalho.
Comunicada a toda a organização para os usuários de uma forma que seja relevante, acessível e compreensível para o público-alvo.
Comunicada apenas aos usuários que possuem acesso à Internet.
Armazenada em local seguro com acesso apenas por diretores e pessoas autorizadas.
Respondido em 14/04/2020 10:47:35
Gabarito
Coment.
3a Questão
Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta situação?
Passivo
Tangível
Intangível
Ativo
Abstrato
Respondido em 14/04/2020 10:49:41
4a Questão
Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedade e que permitem a organização deste ativos em grupos com características semelhantes no que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções abaixo define a classificação dos tipos de ativos?
Contábil e Não Contábil.
Material e Tangível.
Intangível e Qualitativo.
Tangível e Intangível.
Tangível e Físico.
Respondido em 14/04/2020 10:50:50
5a Questão
Trata-se de " [...] uma sequência de símbolos quantificados ou quantificáveis. [...]" Também são ______ fotos, figuras, sons gravados e animação." Tal conceito refere-se a:
Nenhuma da alternativas anteriores
Informação
Sistemas de Informação
Dado
Conhecimento
Respondido em 14/04/2020 10:53:33
6a Questão
Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 (três) aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança da Informação". Quais elementos compõem a tríade da segurança da informação?
Disponibilidade, Privacidade e Segurabilidade
Privacidade, Governabilidade e Confidencialidade
Confiabilidade, Integridade e Disponibilidade
Autenticidade, Legalidade e Privacidade
Integridade, Legalidade e Confiabilidade
Respondido em 14/04/2020 10:58:20
7a Questão
Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
I-A informação de uma empresa na maioria das vezes pode ser pública, para que prejudique o funcionamento, integridade, estratégias e tomadas de decisões da empresa.
II-A informação torna-se um dos ativos mais importantes e valiosos dentro de uma organização, pois são cruciais para a eficácia das estratégias de uma empresa.
III-A informação é primordial para realizar com eficácia todos os processos de uma empresa, sendo assim um elemento que pode conduzir a empresa ao sucesso ou ao fracasso caso essas informações não estejam corretas
Somente III
Somente I
I, II e III
Somente I e III
Somente II e III
Respondido em 14/04/2020 11:00:22
Explicação:
O certo seria:
A informação de uma empresa na maioria das vezes não pode ser pública, para que não prejudique o funcionamento, integridade, estratégias e tomadas de decisões da empresa.
8a Questão
A informação pode ser classificada em níveis de prioridade dentro da organização, conforme segue:
I. Informação pública: deveria ter o livre acesso evitado, embora não haja consequências prejudiciais/sérias do acesso e uso não autorizado. A integridade deste tipo de informação é importante, porém não vital.
II. Informação Interna: pode vir ao público sem consequências prejudiciais ao funcionamento normal da empresa e cuja integridade não é vital.
III. Informação Confidencial: é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em desequilíbrio operacional e, eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo.
IV. Informação Secreta: muito crítica para as atividades da empresa e cuja integridade deve ser preservada a qualquer custo. O acesso deve ser restrito, e a segurança deste tipo de informação é crucial/vital para a empresa.
Após a leitura, assinale a alternativa correta sobre as asserções supracitadas:
Somente as asserções III e IV estão corretas
Somente as asserções I e II estão corretas
Somente as asserções II e IV estão corretas
Somente as asserções I e III estão corretas
Somente as asserções I, II e III estão corretas
Respondido em 14/04/2020 11:02:41
Explicação:
· Informação pública: Informação que pode vir ao público sem consequências prejudiciais ao funcionamento normal da empresa e cuja integridade não é vital;
· Informação Interna: Informação que deveria ter o livre acesso evitado, embora não haja consequências prejudiciais/sérias do acesso e uso não autorizado. A integridade deste tipo de informação é importante, porém não vital;
· Informação Confidencial: Informação que é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em desequilíbrio operacional e, eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo;
· Informação Secreta: Informação muito crítica para as atividades da empresa e cuja integridade deve ser preservada a qualquer custo. O acesso deve ser restrito, e a segurança deste tipo de informação é crucial/vital para a empresa.
Aula 2
1a Questão
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para as organizações quando tratamos de Segurança da Informação?
Valor de troca.
Valor de orçamento.
Valor de uso.
Valor de restrição.
Valor de propriedade.
Respondido em 15/04/2020 07:41:59
Gabarito
Coment.
2a Questão
Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade¿. Esta afirmação é:
falsa, pois não existe alteração de nível de segurança de informação.
verdadeira desde que seja considerada que todas as informações são publicas.
verdadeira se considerarmos que o nível não deve ser mudado.
verdadeira, pois a classificação da informação pode ser sempre reavaliada.
falsa, pois a informação não deve ser avaliada pela sua disponibilidade.
Respondido em 15/04/2020 07:43:05
3a Questão
A assinatura digital permite comprovar ______________ e Integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada.
O Não-repúdio
A Legalidade
A autenticidade
A Disponibilidade
A Confidencialidade
Respondido em 15/04/2020 07:43:41
4a Questão
Podemos dizer que os controles que reduzema probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas:
Medidas Corretivas e Reativas
Métodos Quantitativos
Métodos Detectivos
Medidas Preventivas
Medidas Perceptivas
Respondido em 15/04/2020 07:44:36
5a Questão
Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de ¿Ativo de Informação¿?
São aqueles que produzem, processam, reúnem ou expõem informações.
São aqueles que produzem, processam, transmitem ou armazenam informações.
São aqueles tratam, administram, isolam ou armazenam informações.
São aqueles que organizam, processam, publicam ou destroem informações.
São aqueles que constroem, dão acesso, transmitem ou armazenam informações.
Respondido em 15/04/2020 07:49:21
Gabarito
Coment.
Gabarito
Coment.
6a Questão
O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que por sua vez, mantêm a operação da empresa. Estes momentos são denominados:
Iniciação, processamento, utilização e remoção
Manuseio, armazenamento, transporte e descarte
Criação, compartilhamento, utilização e descarte
Criação, utilização, armazenamento e compartilhamento
Manuseio, transporte, compartilhamento e remoção
Respondido em 15/04/2020 07:50:43
Gabarito
Coment.
7a Questão
Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como o banco pode garantir-se de que, posteriormente, João venha a afirmar que não foi ele quem fez o acesso? Neste caso estamos falando de:
Disponibilidade
Confidencialidade
Não-repúdio
Integridade
Autenticação
Respondido em 15/04/2020 07:51:14
Gabarito
Coment.
8a Questão
A assinatura digital permite comprovar a autenticidade e ______________ de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada.
a disponibilidade
a integridade
o não-repúdio
a confidencialidade
a legalidade
Respondido em 15/04/2020 07:52:41
Aula 3
1a Questão
Analise o trecho abaixo:
"Além da falta de água nas torneiras, a crise hídrica começa agora a afetar também a distribuição de energia elétrica no país. Cidades de ao menos sete unidades federativas do Brasil e no Distrito Federal registraram cortes severos, na tarde desta segunda-feira." Jornal O DIA, em 19/01/2015.
Neste caso as empresas de Tecnologia que estão localizadas no município apresentam a vulnerabilidade do tipo:
Comunicação
Natural
Hardware
Mídia
Física
Respondido em 22/04/2020 14:45:23
Gabarito
Coment.
2a Questão
Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
I-A Criptografia é uma técnica que permite transformar informações em uma forma ilegível com a finalidade de ser reconhecida apenas pelo destinatário devido.
II-A criptografia pode ser conceituada como uma ciência que usa algoritmos para criptografar os dados de uma maneira não legível.
III- A encriptação é o processo contrário da criptografia, em que os dados encriptados são transformados em sua forma original legível.
Somente I e III
Somente III
Somente II e III
Somente I e II
I, II e III
Respondido em 22/04/2020 14:47:18
Explicação:
A decriptação é o processo contrário da criptografia, em que os dados encriptados são transformados em sua forma original legível.
3a Questão
O processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções pode ser descrito em qual das opções abaixo?
Analise de Escopo
Ameaça
Análise de Vulnerabilidade
Analise de Incidente
Ativo
Respondido em 22/04/2020 14:48:31
Gabarito
Coment.
4a Questão
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "engenheiros". Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo "engenheiros" acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à:
Disponibilidade
Auditoria
Confidencialidade
Autenticidade
Integridade
Respondido em 22/04/2020 14:49:17
Gabarito
Coment.
Gabarito
Coment.
5a Questão
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware:
Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações.
Respondido em 22/04/2020 14:52:18
Gabarito
Coment.
6a Questão
Relacione a primeira coluna com a segunda:
A. Área de armazenamento sem proteção 1. ativo
B. Estações de trabalho 2. vulnerabilidade
C. Falha de segurança em um software 3. ameaça
D. Perda de vantagem competitiva 4. impacto
E. Roubo de informações 5. medida de segurança
F. Perda de negócios
G. Não é executado o "logout" ao término do uso dos sistemas
H. Perda de mercado
I. Implementar travamento automático da estação após período de tempo sem uso
J. Servidores
K. Vazamento de informação
A2, B1, C2, D3, E3, F3, G2, H4, I5, J1, K4.
A2, B1, C3, D3, E3, F4, G2, H4, I5, J1, K4.
A2, B1, C3, D3, E4, F4, G2, H4, I5, J1, K3.
A2, B1, C2, D4, E4, F4, G2, H4, I5, J1, K3.
A2, B1, C2, D4, E3, F4, G2, H4, I5, J1, K3.
Respondido em 22/04/2020 14:56:29
Gabarito
Coment.
7a Questão
Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque?
Vulnerabilidade Mídias
Vulnerabilidade Natural
Vulnerabilidade Software
Vulnerabilidade Comunicação
Vulnerabilidade Física
Respondido em 22/04/2020 14:59:02
Gabarito
Coment.8a Questão
As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque?
Vulnerabilidade Natural
Vulnerabilidade de Software
Vulnerabilidade Comunicação
Vulnerabilidade Física
Vulnerabilidade Mídia
Respondido em 22/04/2020 15:00:44
1a Questão
Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador pode ser descrito como sendo um:
exploit
backdoor
keylogger
spyware
vírus
Respondido em 28/04/2020 14:55:29
2a Questão
Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um:
exploit
cavalo de tróia (trojan horse)
vírus
active-x
worm
Respondido em 28/04/2020 14:57:51
3a Questão
Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso?
Fraco
Passivo
Forte
Secreto
Ativo
Respondido em 28/04/2020 14:59:18
Gabarito
Coment.
4a Questão
Uma das primeiras ameaças que as redes estão susceptíveis são os vírus. Os vírus são programadas desenvolvidos para alterar de forma nociva softwares instalados em uma rede. Sobre os vírus assinale apenas a opção que contenha apenas as opções verdadeiras:
I-O vírus é um programa normalmente malicioso que propaga-se na rede realizando cópias de si mesmo.
II-Para que o vírus se torne ativo é necessário que o mesmo seja executado pelo programa infectado.
III- Um vírus executa diretamente suas cópias e explora diretamente as vulnerabilidades existentes na rede de computadores
Apenas I
Apenas I e II
Apenas II
I, II e III
Apenas I e III
Respondido em 28/04/2020 15:01:40
Explicação:
A afirmativa III refere-se a um WORM
5a Questão
Você pode perceber que é importante detectar, analisar e depois ¿atacar¿ as ameaças em que as organizações estão susceptíveis.Em relação as redes de computadores, as ameaças podem surgir através de agente maliciosos, como os Crakers. Assinale apenas a alternativa que contenha apenas as afirmações corretas:
I-Cracker é uma pessoa que invade um sistema de segurança com o objetivo de roubar ou destruir informações dos sistemas.
II-Os Cracker não possuem como objetivo invadir um sistema com a intenção de causar algum dano especifico.
III-Os crackers já possuem características opostas, eles possuem prática na quebra da segurança dos sistemas e softwares e utilizam o conhecimento adquirido de forma a causar algum dano e de forma ilegal.
Apenas I
Apenas II
Apenas I e III
Apenas I e II
I, II e III
Respondido em 28/04/2020 15:50:27
Explicação:
A Qquestão II refere-se a um Hacker.
6a Questão
Pedro construiu um software malicioso capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Neste caso o programa poderá afetar o desempenho da rede e a utilização do computador. Neste caso podemos afirmar que Pedro construiu um:
Keylogger
Worm
Backdoor
Screenlogger
Trojan
Respondido em 28/04/2020 15:53:24
7a Questão
Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II .
Coluna I
1. Spyware
2. Adware
3. Engenharia Social
4. Backdoor
5. Phishing
Coluna II
( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso.
( ) Software que insere propagandas em outros programas.
( ) Brecha inserida pelo próprio programador de um sistema para uma invasão.
( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança.
( ) Programa espião.
A sequencia correta é:
5, 2, 4, 3, 1.
3, 1, 4, 5, 2.
3, 1, 5, 2, 4.
5,1,4,3,2.
3, 2, 4, 5, 1.
8a Questão
Com relação as ameaças aos sistema de informação, assinale a opção correta:
Bot é um programa capaz de se propagar, automaticamente, por rede, pois envia cópias de si mesmo de computador para computador, por meio de execução direta ou por exploração automática das vulnerabilidades existentes em programas instalados em computadores.
Backdoor é um programa que permite o acesso de uma máquina a um invasor de computador, pois assegura a acessibilidade a essa máquina em modo remoto, sem utilizar, novamente, os métodos de realização da invasão.
Vírus é um programa que monitora as atividades de um sistema e envia informações relativas a essas atividades para terceiros. Um exemplo é o vírus keylogger que é capaz de armazenar os caracteres digitados pelo usuário de um computador.
Spyware é um programa que permite o controle remoto do agente invasor e é capaz de se propagar automaticamente, pois explora vulnerabilidades existentes em programas instalados em computadores.
Worm é um programa ou parte de um programa de computador, usualmente malicioso, que se propaga ao criar cópias de si mesmo e, assim, se torna parte de outros programas e arquivos.
Aula 5
1a Questão
Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque?
Exploração das Informações
Divulgação do Ataque
Levantamento das Informações
Obtenção de Acesso
Camuflagem das Evidências
Respondido em 05/05/2020 14:38:15
2a Questão
Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Manutenção do acesso" nesta receita:
Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema.
É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque.
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento.
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans.
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira,na utilização indevida dos recursos computacionais.
Respondido em 05/05/2020 14:44:31
Gabarito
Coment.
3a Questão
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar?
Fragmentação de pacotes IP
SYN Flooding
Ip Spoofing
Port Scanning
Fraggle
Respondido em 05/05/2020 14:48:29
4a Questão
Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu objetivo o invasor tentará levantar estas informações através da escuta das portas do protocolo TCP e UDP. Neste caso estamos nos referindo a um ataque do tipo:
Port Scanning
Three-way-handshake
Fraggle
Fragmentação de Pacotes IP
SYN Flooding
Respondido em 05/05/2020 14:50:30
5a Questão
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando derrubar à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar?
Fragmentação de pacotes IP
Ip Spoofing
Port Scanning
SYN Flooding
Fraggle
Respondido em 05/05/2020 14:51:22
Gabarito
Coment.
6a Questão
Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP , que foi mascarado pelo atacante.
Fraggle
Phishing Scan
Smurf
Shrink Wrap Code
Dumpster Diving ou Trashing
Respondido em 05/05/2020 14:52:47
Gabarito
Coment.
7a Questão
Qual o nome do ataque que tem o intuito de enviar uma quantidade em "massa" de e-mails muitas das vezes indesejáveis ?
Spyware
Backdoor
Spam
Adware
Rootkit
Respondido em 05/05/2020 14:54:00
Gabarito
Coment.
8a Questão
O ataque é derivado de uma ameaça que tenta violar os serviços de segurança de um sistema usando uma técnica eficienteOs ataques podem ser divididos em passivo e ativo. Em relação aos ataques assinale a opção que contenha apenas afirmações verdadeiras:
I-Ataques passivos: o atacante apenas intercepta e monitora as informações transmitidas. No ataque passivo as informações não são modificadas.
II-Um ataque terá sucesso quando conseguir explorar um ativo de rede de um sistema computacional.
III-Ataques passivos: o atacante apenas intercepta e monitora as informações transmitidas. No ataque passivo as informações não são modificadas.
I , II e III
Apenas III
Apenas I
Apenas II e III
Apenas I e II
Respondido em 05/05/2020 14:57:28
Explicação:
Todas são corretas
Aula 6
1a Questão
Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta especificamente um dos três elementos da tríade da segurança da informação. Qual é o ataque ?
0day
Spyware
Backdoor
DoS/DDoS
Adware
Respondido em 12/05/2020 11:46:23
Gabarito
Coment.
2a Questão
A segurança da informação deve ser vista como algo estratégico dentro da organização. E a organização deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da organização criar um plano de gestão voltado para riscos é criando um Plano de Gestão de Risco (PGI). O PGI é composto por 4 fases, quais são elas?
Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco
Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; Comunicação do impacto
Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; Mapeamento de impacto
Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco
Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco
Respondido em 12/05/2020 11:58:28
Gabarito
Coment.
3a Questão
Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de obter informações pessoais de usuários de sites da Internet ou site corporativo ?
Spyware
Phishing
Defacement
Backdoor
Rootkit
Respondido em 12/05/2020 12:01:58
4a Questão
Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles (soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" na Análise e Avaliação dos Riscos:
Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita.
A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco.O risco é representando em termos de possíveis perdas financeiras.
Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização.
Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados.
Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo.
Respondido em 12/05/2020 12:13:17
Gabarito
Coment.
5a Questão
É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Qual das opções abaixo Não representa um destes propósitos?
Conformidade Legal e a evidência da realização dos procedimentos corretos
Preparação de um plano para aceitar todos os Riscos
Descrição dos requisitos de segurança da informação para um produto.
Preparação de um plano de continuidade de negócios.
Preparação de um plano de respostas a incidentes.
Respondido em 12/05/2020 12:14:32
Gabarito
Coment.
6a Questão
Qual das opções abaixo não representa uma das etapas da Gestão de Risco:
Selecionar, implementar e operar controles para tratar os riscos.
Manter e melhorar os controles
Verificar e analisar criticamente os riscos.
Identificar e avaliar os riscos.
Manter e melhorar os riscos identificados nos ativos
Respondido em 12/05/2020 12:15:14
Gabarito
Coment.
7a Questão
Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ?
Spyware
Spammer
Rootkit
Bot/Botnet
Phishing
Respondido em 12/05/2020 12:15:47
Gabarito
Coment.
8a Questão
Em relaçãoà analise de risco, analise as afirmativas abaixo:
I-Essa análise não é de grande relevância para que as organizaçõesdecidam quais os riscos exigirão maior atenção e investimentosuos.
II-Uma organização não gastará tempo e investimentos para solucionar riscos que possuem uma chance pequena de ocorrer ou que provocará danos mínimos a organização.
III-Após a coleta das informações e da inserção no registrador de riscos, a próxima etapa será realizar a análise e identificação dos riscos com a finalidade de classificá-los.
Assinale apenas a opção com afirmações corretas:
I, II e III
Apenas I e II
Apenas II e III
Apenas I
Apenas III
Respondido em 12/05/2020 12:16:56
Explicação:
A afirmativa I é falsa
Aula 7
1a Questão
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares?
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
Respondido em 12/05/2020 15:44:29
2a Questão
Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança?
Autenticidade;
Confidencialidade;
Integridade;
Auditoria;
Não-Repúdio;
Respondido em 12/05/2020 15:45:13
Gabarito
Coment.
3a Questão
A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é:
O plano de continuidade do negócio.
A reputação da organização
O equipamento de comunicação
O serviço de iluminação
A base de dados e arquivos
Respondido em 12/05/2020 15:46:39
4a Questão
Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma:
Análise/revisão sistemática dos ativos de segurança da informação
Análise/avaliação sistemática dos riscos de segurança da informação
Análise/avaliação sistemática dos incidentes de segurança da informação
Identificação/avaliação sistemática dos eventos de segurança da informação
Análise/orientação sistemática dos cenários de segurança da informação
Respondido em 12/05/2020 15:48:02
5a Questão
Sobre NBR ISO/IEC 27002 analise as opções abaixo:
I- O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa.
II-A norma NBR ISO/IEC 27002 não deve ser aplicada a todos os tipos de organizações.
III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de gestão de segurança.
Assinale a opção que contenha apenas afirmações corretas:
Apenas III
Apenas I
Apenas I e III
I, II e III
Apenas II
Respondido em 12/05/2020 15:49:50
Explicação:
O certo seria:
A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos
6a Questão
A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos levando-se em conta os objetivos e _________________ globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ____________ e do impacto potencial ao negócio.
oportunidades, vulnerabilidades
estratégias, ameaças
oportunidades, ações
especulações, ameaças
determinações, ações
Respondido em 12/05/2020 15:52:27
7a Questão
Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos?
Diretrizes; Manuais e Procedimentos
Diretrizes; Normas e Procedimentos
Manuais; Normas e Relatórios
Manuais; Normas e Procedimentos
Diretrizes; Normas e Relatórios
Respondido em 12/05/2020 15:53:51
8a Questão
O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa.A norma deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos. A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização.
Essa descrição está relacionada com qual norma?
NBR ISO/IEC 28002
NBR ISO/IEC 7002
NBR ISO/IEC 27012
NBR ISO/IEC 27002
NBR ISO/IEC 27052
Respondido em 12/05/2020 15:55:12
Explicação:
NBR ISO/IEC 27002
Aula 8
1.
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é:
Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI.
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões.
A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação.
O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
Gabarito
Coment.
2.
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização:
Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI
Sistema de gestão de segurança da informação, classificação da informação,auditoria internas e análise de risco.
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação.
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI
Gabarito
Coment.
3.
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo:
I-Estabelece os limites e critérios para definir quais os riscos que serão avaliados;
II-A norma ISO/IEC 27001 é certificadora, o que significa que é utilizada por institutos credenciados em diversos países.
III-A norma NBR ISO/IEC 27001 também apresenta como objetivo especificar os requisitos de um Sistema de Gestão de Segurança da Informação (SGSI), que é baseado nos riscos da organização.
Assinale a opção que contenha apenas afirmações corretas:
Apenas II
Apenas I
Apenas III
Apenas I e III
I, II e III
Explicação:
Todas são verdadeiras
4.
A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas.
Em relaçao a etapa "Check", qual das alternativas abaixo descreve essa etapa:
Nesta etapa implementa-se através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI.
São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores.
Nenhuma das opções anteriores.
É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos.
Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
Explicação:
Na fase Check (checar) é realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. Esse monitoramento dos riscos é muito importante, já que raramente os riscos permaneceram estáticos. Dessa forma, esse processo evitará que ameaças aumentem o nível de riscos.
5.
Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações?
Administrativa, Física e Lógica.
Lógica, Administrativa e Contábil.
Administrativa, Física e Programada.
Administrativa, Contábil e Física.
Lógica, Física e Programada.
Gabarito
Coment.
6.
Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de:
Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes
Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização.
Definir e medir a eficácia dos controles ou grupos de controle selecionados.
7.
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
Prevenção e Preventivas.
Corretivas e Correção.
Corretivas e Corrigidas.
Corrigidas e Preventivas.
Corretivas e Preventivas.
8.
Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as empresas. Qual do beneficios abaixo são promovidos?
I-Demonstração e garantia de que os requisitos de governança corporativa e de continuidade do negócio estejam sendo atendidos.
II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos;
III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, será possível que os documentos dos processos de segurança da informação sejam formalizados.
Assinale a opção que contenha apenas afirmações corretas:
Apenas II e III
Apenas I e III
Apenas III
I, II e III
Apenas I
Explicação:
Todas estão corretas
Aula 9
1a Questão
O Plano de Continuidade do Negócio......
define uma ação de continuidade imediata e temporária.
prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco.
precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais.
não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação.
deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não.
Respondido em 19/05/2020 13:46:32
2a Questão
A gestão de continuidade de negócios (GCN) faz parte de um processo que possibilita que uma organização lide com os incidentes de interrupção que poderiam impedi-la de atingir seus objetivos. Sobre a GCN analise as afirmativas abaixo:
I-A continuidade de negócios pode ser descrita pela capacidade de continuar a entregar seus produtos e serviços em níveis aceitáveis após a ocorrência de um incidente de interrupção.
II-Através da integração da gestão de continuidade de negócios (GCN) e de uma estrutura sistêmica de gestão da organização é que criamos um Sistema de Gestão de Continuidade de Negócios (SGCN).
III-O SGCN pode ser aplicado apenas em empresas de porte grande.
Assinale a opção que contenha apenas afirmações verdadeiras:
Apenas I
Apenas I e III
I, II e III
Apenas I e II
Apenas III
Respondido em 19/05/2020 13:52:15
Explicação:
O SGCN pode ser aplicado em empresas de porte grande, médio e pequeno e que operem em setores industrial, comercial, público e sem fins lucrativos.
3a Questão
Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) esteja no nível mais alto da organização?
Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas.
Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas.
Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções inesperadas.
Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções inesperadas.
Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupçõesinesperadas.
Respondido em 19/05/2020 13:54:26
Gabarito
Coment.
4a Questão
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação relacionada à:
Não-Repúdio;
Auditoria;
Integridade;
Confidencialidade;
Autenticidade;
Respondido em 19/05/2020 13:55:29
5a Questão
Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança?
Auditoria;
Não-Repúdio;
Confidencialidade;
Integridade;
Autenticidade;
Respondido em 19/05/2020 13:55:53
Gabarito
Coment.
6a Questão
Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações.
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento:
Desenvolvendo e implementando uma resposta de GCN.
Determinando a estratégia de continuidade de negócios.
Entendendo a organização.
Testando, mantendo e analisando criticamente os preparativos de GCN.
Incluindo a GCN na cultura da organização.
Respondido em 19/05/2020 14:06:08
Gabarito
Coment.
7a Questão
A norma NBR ISO/IEC 22313 também adota o ciclo PDCA a fim de utilizar essa ferramenta para planejar, implementar, analisar e melhor a eficiência do sistema de gestão de continuidade do negócio.
Sobre a etapa "DO", qual das alternativas descreve essa etapa:
Ocorre a implementação e operação da política de continuidade de negócios, controles, processos e procedimentos.
Nenhuma das opções anteriores
Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação.
São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores
É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos.
Respondido em 19/05/2020 14:11:49
Explicação:
A segunda etapa do PDCA é o DO (fazer), que implementa-se o que foi estabelecido na etapa anterior, através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI.
8a Questão
Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)?
O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados.
O PRD é mais abrangente que o PCN.
O PCN só pode ser implementado se o PRD já tiver em uso.
O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-se na continuidade para todos os processos.
O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação.
AVALIAÇÃO
1a
Questão
Acerto: 1,0 / 1,0
Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma empresa. Neste contexto qual o objetivo fundamental da ¿Segurança da Informação¿?
Visam à proteção alguns poucos ativos de uma empresa que contêm informações.
Visa à proteção dos equipamentos de uma empresa que contêm informações.
Visa principalmente à proteção dos ativos patrimoniais que contêm informações.
Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informações.
Visa à proteção de todos os ativos de uma empresa que contêm informações.
Respondido em 28/05/2020 15:00:39
2a
Questão
Acerto: 1,0 / 1,0
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para as organizações quando tratamos de Segurança da Informação?
Valor de restrição.
Valor de troca.
Valor de uso.
Valor de propriedade.
Valor de orçamento.
Respondido em 28/05/2020 15:01:08
Gabarito
Coment.
3a
Questão
Acerto: 0,0 / 1,0
Uma pesquisa realizada pelos organizadores da Conferência Infosecurity Europe 2003 com trabalhadores de escritórios, que distribuía um brinde (de baixo valor) aos entrevistados, revelou que 75% deles se dispunham a revelar suas senhas em resposta a uma pergunta direta ("Qual é a sua senha?"), e outros 15% responderam a perguntas indiretas que levariam à determinação da senha. Esse experimento evidencia a grande vulnerabilidade dos ambientes computacionais a ataques de que tipo?
Acesso físico.
Back doors.
Engenharia social.
Cavalos de tróia.
Vírus de computador.
Respondido em 28/05/2020 15:02:16
Gabarito
Coment.
4a
Questão
Acerto: 1,0 / 1,0
Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ?
Interna e Oculta
Conhecida e Externa
Secreta e Externa
Secreta e Oculta
Interna e Externa
Respondido em 28/05/2020 15:03:23
5a
Questão
Acerto: 1,0 / 1,0
Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções abaixo Não representa um destes tipos de ataques?
Ataques Genéricos
Ataque de Configuração mal feita
Ataque à Aplicação
Ataque aos Sistemas Operacionais
Ataque para Obtenção de Informações
Respondido em 28/05/2020 15:09:10
6a
Questão
Acerto: 1,0 / 1,0
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar":
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco.
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio.
Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões.
Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação.
Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças.
Respondido em 28/05/2020 15:15:23
Gabarito
Coment.
7a
Questão
Acerto: 0,0 / 1,0
A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança?
Desenvolvimento e Manutenção de Sistemas
Gerenciamento das Operações e Comunicações
Segurançaem Recursos Humanos
Segurança Física e do Ambiente
Controle de Acesso
Respondido em 28/05/2020 15:19:06
8a
Questão
Acerto: 1,0 / 1,0
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
Prevenção e Preventivas
Corrigidas e Preventivas
Corretivas e Preventivas
Corretivas e Correção
Corretivas e Corrigidas
Respondido em 28/05/2020 15:20:13
9a
Questão
Acerto: 0,0 / 1,0
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"?
A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.
Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações.
Respondido em 28/05/2020 15:28:54
Gabarito
Coment.
10a
Questão
Acerto: 1,0 / 1,0
Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente físico e, até mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de contingência que melhor conduza o objeto a operar sob um nível de risco controlado. Nas estratégias de contingência possíveis de implementação, qual a estratégia que está pronta para entrar em operação assim que uma situação de risco ocorrer?
Hot-site
Acordo de reciprocidade
Warm-site
Realocação de operação
Cold-site
AVALIAÇÃO AV-2
1a
Questão
Acerto: 1,0 / 1,0
Todo tipo de complemento da tarefa dentro de uma corporação requer informação. A comunicação é requerida para assegurar que estas informações provêm para a pessoa responsável pela tarefa.
Sendo a informação o elemento fundamental para todos os processos de negócio da organização, leia as asserções abaixo e, a seguir, assinale a alternativa correta:
I. A informação é um bem ou ativo de grande valor, podendo levar a organização do sucesso ao fracasso, em função de impactos financeiros, operacionais ou de imagem, ocasionados por falhas, erros ou fraudes no uso da informação;
II. A informação passou a ser um recurso estratégico para as organizações, possibilitando a geração de conhecimento e apoiando o processo de tomada de decisões. Em virtude disto, o grau de proteção e preocupação com estas informações diminuiu consideravelmente;
III. As informações trafegadas intermitentemente pela organização caracterizam-se por serem um dos seus ativos mais valiosos.
Somente as asserções I e II estão corretas
Somente a asserção III está correta
Somente a asserção II está correta
Somente as asserções II e III estão corretas
Somente as asserções I e III estão corretas
Respondido em 30/05/2020 08:36:46
2a
Questão
Acerto: 1,0 / 1,0
Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança?
Secreta.
Interna.
Irrestrito.
Pública.
Confidencial.
Respondido em 30/05/2020 08:44:34
3a
Questão
Acerto: 1,0 / 1,0
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos definir o que são vulnerabilidades:
Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações.
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.
Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computadores, incendiários.
São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc.
É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL.
Respondido em 30/05/2020 08:46:48
4a
Questão
Acerto: 1,0 / 1,0
Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso?
Fraco
Passivo
Ativo
Forte
Secreto
Respondido em 30/05/2020 08:54:02
Gabarito
Coment.
5a
Questão
Acerto: 1,0 / 1,0
Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas do protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em cada porta. Qual seria este ataque:
Packet Sniffing.
Ip Spoofing.
Fraggle.
Syn Flooding.
Port Scanning.
Respondido em 30/05/2020 09:00:42
Gabarito
Coment.
6a
Questão
Acerto: 1,0 / 1,0
Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco:
Melhorar a efetividade das decisões para controlar os riscos
Manter a reputação e imagem da organização
Eliminar os riscos completamente e não precisar mais tratá-los
Entender os riscos associados ao negócio e a gestão da informação
Melhorar a eficácia no controle de riscos
Respondido em 30/05/2020 09:04:26
Gabarito
Coment.
7a
Questão
Acerto: 1,0 / 1,0
O grande objetivo da norma NBR ISO/IEC 27002 é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa. Analise as afirmativas abaixo:
I-A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizaçõesseja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos.
II-A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização.
III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de gestão de segurança.
Assinale a opção que contenha apenas afirmações corretas:
Apenas I
I, II e III
Apenas III
Apenas I e III
Apenas I e II
Respondido em 30/05/2020 09:17:26
8a
Questão
Acerto: 1,0 / 1,0
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere:
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle.
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas.
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:
I e III.
I e II.
II.
III e IV.
II e III.
Respondido em 30/05/2020 09:19:41
Gabarito
Coment.
9a
Questão
Acerto: 1,0 / 1,0
O Plano de Continuidade do Negócio......
não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação.
precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais.
deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não.
prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco.
define uma ação de continuidade imediata e temporária.
Respondido em 30/05/2020 09:20:38
10a
Questão
Acerto: 1,0 / 1,0
Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus componentes ?
Redes Não Confiáveis - Não é possível informar se necessitam de proteção.
Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de proteção
Redes Não Confiáveis - Não possuem controle da administração.
Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou não confiável.
Redes Não Confiáveis - Não possuem políticas de segurança.Materiais relacionados
68 pág.
78 pág.
74 pág.
Perguntas relacionadas
Compartilhar