Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 a Questão Trata-se de " [...] uma sequência de símbolos quantificados ou quantificáveis. [...]" Também são ______ fotos, figuras, sons gravados e ani- mação." Tal conceito refere-se a: Dado Sistemas de Informação Nenhuma da alternativas anteriores Informação Conhecimento Respondido em 19/05/2020 16:38:52 2 a Questão Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta situação? Intangível Tangível Ativo Abstrato Passivo Respondido em 19/05/2020 16:44:59 3 a Questão A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor este princípio: Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado. Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de cancelamento posterior. Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou processos. Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprova- da. Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usu- ários, entidades, sistemas ou processos não autorizados e aprovados. Respondido em 19/05/2020 16:49:45 4 a Questão Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas: I-A informação é uma mercadoria capaz de produzir conhecimento, e a informação incluída em um sinal é o que podemos aprender dela... O conhecimento é identificado com a crença produzida (ou sustentada) pela informação. II-A informação atualmente é um recurso estratégico para empresas, possibilitando a sustentabilidade do negócio, gerando conhecimento so- bre os processos e apoiando as tomadas de decisões. III-A informação deve ser cuidada por meio de políticas e regras, da mesma maneira que os recursos financeiro e material são tratados den- tro da empresa. Somente I e III I, II e III Somente II Somente I e II Somente I Respondido em 19/05/2020 16:50:50 Explicação: Todas estão corretas 5 a Questão "É um conjunto organizado de dados, que constitui uma mensagem sobre um determinado fenômeno ou evento." "Permite resolver problemas e tomar decisões, tendo em conta que o seu uso racional é base do conhecimento." "É um fenômeno que confere significado ou sentido às coisas, já que através de códigos e de conjuntos de dados, forma os modelos do pen- samento humano." As citações supracitadas dizem respeito ao conceito de: (assinale a alternativa correta) Hardware Redes de Telecomunicação Software Informação Internet Respondido em 19/05/2020 16:52:04 Explicação: A informação é um conjunto organizado de dados, que constitui uma mensagem sobre um determinado fenômeno ou evento. A informação permite resolver problemas e tomar decisões, tendo em conta que o seu uso racional é base do conhecimento. A informação é um fenômeno que confere significado ou sentido às coisas, já que através de códigos e de conjuntos de dados, forma os modelos do pensamento humano. 6 a Questão O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuí- zos decorrentes de situações inesperadas está relacionado com qual conceito? Impacto. Vulnerabilidade. Valor. Ameaça. Risco. Respondido em 19/05/2020 16:53:14 Gabarito Coment. 7 a Questão O propósito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos disponíveis (pessoas, materi- ais, equipamentos, tecnologia, dinheiro e informação). Neste contexto podemos a afirmar que ________________________é o elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação. a informação o arquivo o conhecimento o registro o dado Respondido em 19/05/2020 16:53:46 Gabarito Coment. Gabarito Coment. 8 a Questão Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas: I-A informação de uma empresa na maioria das vezes pode ser pública, para que prejudique o funcionamento, inte- gridade, estratégias e tomadas de decisões da empresa. II-A informação torna-se um dos ativos mais importantes e valiosos dentro de uma organização, pois são cruciais pa- ra a eficácia das estratégias de uma empresa. III-A informação é primordial para realizar com eficácia todos os processos de uma empresa, sendo assim um ele- mento que pode conduzir a empresa ao sucesso ou ao fracasso caso essas informações não estejam corretas Somente III Somente I e III Somente I I, II e III Somente II e III Respondido em 19/05/2020 16:54:50 Explicação: O certo seria: A informação de uma empresa na maioria das vezes não pode ser pública, para que não prejudique o funcionamento, integridade, estratégias e tomadas de decisões da empre- sa. 1 a Questão Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como o banco pode garantir-se de que, posteriormente, João venha a afirmar que não foi ele quem fez o acesso? Neste caso estamos falando de: Não-repúdio Autenticação Integridade Confidencialidade Disponibilidade Respondido em 19/05/2020 17:38:16 Gabarito Coment. 2 a Questão O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que por sua vez, mantêm a operação da empresa. Estes momentos são denominados: Manuseio, armazenamento, transporte e descarte Criação, utilização, armazenamento e compartilhamento Criação, compartilhamento, utilização e descarte Iniciação, processamento, utilização e remoção Manuseio, transporte, compartilhamento e remoção Respondido em 19/05/2020 17:41:58 Gabarito Coment. 3 a Questão VULNERABILIDADE DE SEGURANÇA O ciclo de vida da informação Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que está dialogando com seu banco e não com alguém que se faz passar por ele? Neste caso es- tamos falando de: Confidencialidade Disponibilidade Autenticação Legalidade Não-repúdio Respondido em 19/05/2020 17:42:51 4 a Questão A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para: A gestão de orçamento. A gestão dos negócios da organização . A gestão do ciclo da informação interna. A gestão da área comercial. A gestão dos usuários. Respondido em 19/05/2020 17:45:13 5 a Questão Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿audito- res¿. Um usuário de um outro grupo, o grupo ¿estudante¿, tenta acessar o sistema em busca de uma informação que somente o grupo ¿au- ditores¿ tem acesso e consegue. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Integridade; Disponibilidade; Confidencialidade; Não-Repúdio; Auditoria; Respondido em 19/05/2020 17:46:58 6 a Questão Sobre o conceito: " [...] é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em desiquilíbrio operacional e, eventual- mente, a perdas financeiras ou de confiabilidade perante o cliente externo". Tal conceituaçãorefere-se a qual tipo de informação, no que tan- ge ao nível de prioridade da mesma, segundo Wadlow (2000)? Nenhuma das alternativas anteriores Informação Interna Informação Pública Informação confidencial Informação secreta Respondido em 19/05/2020 17:49:01 7 a Questão Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilida- de¿. Esta afirmação é: verdadeira desde que seja considerada que todas as informações são publicas. falsa, pois a informação não deve ser avaliada pela sua disponibilidade. verdadeira, pois a classificação da informação pode ser sempre reavaliada. falsa, pois não existe alteração de nível de segurança de informação. verdadeira se considerarmos que o nível não deve ser mudado. Respondido em 19/05/2020 17:50:39 8 a Questão A informação é um ativo importante dentro da organização, e que deve ser protegido em todas as fases do seu ciclo de vida. Aponte dentre as alternativas abaixo aquela que corresponde ao correto ciclo de vida da informação: Geração, Transporte, Armazenamento, Manuseio e Descarte. Criação, Edição, Correção, Manuseio e Descarte Geração, Edição, Correção, Divulgação e Descarte Geração, Transporte, Publicação, Apreciação e Arquivamento. Desarquivamento, Transporte, Edição, Manuseio e Descarte Respondido em 19/05/2020 17:55:00 Gabarito Coment. 1 a Questão Analise o trecho abaixo: "Além da falta de água nas torneiras, a crise hídrica começa agora a afetar também a distribuição de energia elétrica no país. Cidades de ao menos sete unidades federativas do Brasil e no Distrito Federal registraram cortes severos, na tarde desta segunda-feira." Jornal O DIA, em 19/01/2015. Neste caso as empresas de Tecnologia que estão localizadas no município apresentam a vulnerabilidade do tipo: Hardware Natural Mídia Comunicação Física Respondido em 19/05/2020 19:10:18 Gabarito Coment. 2 a Questão As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física: Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibili- dade de recursos quando necessários. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Respondido em 19/05/2020 19:12:04 Gabarito Coment. 3 a Questão As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Software: Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibili- dade de recursos quando necessários. Respondido em 19/05/2020 19:13:12 4 a Questão Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque DDoS e foi descrito como o maior já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕES de blogs, incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre eles, estão inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcan- çou vários Gigabits por segundo e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do Wordpress, a investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. Qual você acha que foi a vulnerabilidade pa- ra este ataque? Vulnerabilidade Software Vulnerabilidade Natural Vulnerabilidade Comunicação Vulnerabilidade Física Vulnerabilidade Mídias Respondido em 19/05/2020 19:16:41 Gabarito Coment. 5 a Questão Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, in- dependente do seu formato. Uma vez identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar um pro- cesso de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos definir o que são vulnerabilidades: Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computadores, incendiários. Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, mare- motos, aquecimento, poluição, etc. É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças po- tenciais à continuidade dos negócios das organizações. Respondido em 19/05/2020 19:20:46 6 a Questão As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware: Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Respondido em 19/05/2020 19:22:36 Gabarito Coment. 7 a Questão Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "enge- nheiros". Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo "enge- nheiros" acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Integridade Disponibilidade Auditoria Autenticidade Confidencialidade Respondido em 19/05/2020 19:24:09 Gabarito Coment. Gabarito Coment. 8 a Questão Ataque feito em 2009 a um servidorde banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os hackers direcionavam os usu- ários que acessavam o site do banco Bradesco para uma página falsa e roubavam os dados e as senhas destes usuários. O site teve um pro- blema nos servidores de DNS, que traduziram o endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? Vulnerabilidade de Software Vulnerabilidade Mídia Vulnerabilidade de Comunicação Vulnerabilidade Física Vulnerabilidade Natural Respondido em 19/05/2020 19:25:57 Gabarito Coment. 1 a Questão Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um: cavalo de tróia (trojan horse) vírus exploit active-x worm Respondido em 19/05/2020 20:45:24 2 a Questão Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça¿. Podemos dizer que é: falsa, pois não devemos considerar que diferentes ameaças existem . falsa, pois os impactos são sempre iguais para ameaças diferentes. parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. falsa, pois não depende do ativo afetado. verdadeira Respondido em 19/05/2020 20:47:17 3 a Questão Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código malicioso ou Malware ? rootkit trojan horse worm active-x keyloggers Respondido em 19/05/2020 20:50:43 4 a Questão As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade? Naturais, Voluntarias e Vulneráveis. Naturais, Involuntárias e Voluntarias. Naturais, Voluntarias e Obrigatórias. Naturais, Involuntárias e Obrigatórias. Ocasionais, Involuntárias e Obrigatórias. Respondido em 19/05/2020 20:51:32 5 a Questão Você pode perceber que é importante detectar, analisar e depois ¿atacar¿ as ameaças em que as organizações estão susceptíveis.Em relação as redes de computadores, as ameaças podem surgir através de agente maliciosos, como os Crakers. Assinale apenas a alternativa que contenha apenas as afirmações corretas: I-Cracker é uma pessoa que invade um sistema de segurança com o objetivo de roubar ou destruir informações dos sistemas. II-Os Cracker não possuem como objetivo invadir um sistema com a intenção de causar algum dano especifico. III-Os crackers já possuem características opostas, eles possuem prática na quebra da segurança dos sistemas e soft- wares e utilizam o conhecimento adquirido de forma a causar algum dano e de forma ilegal. Apenas I Apenas II Apenas I e II Apenas I e III I, II e III Respondido em 19/05/2020 20:53:37 Explicação: A Qquestão II refere-se a um Hacker. 6 a Questão Pedro construiu um software malicioso capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador pa- ra computador. Neste caso o programa poderá afetar o desempenho da rede e a utilização do computador. Neste caso podemos afirmar que Pedro construiu um: Trojan Keylogger Screenlogger Worm Backdoor Respondido em 19/05/2020 20:54:29 7 a Questão Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? Interna e Externa Secreta e Oculta Interna e Oculta Secreta e Externa Conhecida e Externa Respondido em 19/05/2020 20:56:16 8 a Questão Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo teclado do usuário e é enviado para o invasor ? Spyware Keylogger Phishing Defacement Backdoor Respondido em 19/05/2020 20:56:21 1 a Questão Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente segue para realizar um Ataque de Segurança : Levantamento, Exploração, Obtenção, Manutenção e Camuflagem Obtenção, Exploração, Levantamento, Manutenção e Camuflagem Exploração, Levantamento, Obtenção, Manutenção e Camuflagem Levantamento, Obtenção, Exploração, Manutenção e Camuflagem Obtenção, Levantamento, Exploração, Manutenção e Camuflagem Respondido em 20/05/2020 13:37:57 2 a Questão A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de informações inconsistentes pa- ra um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de: Smurf SQL injection Fragmentação de pacotes IP Fraggle Buffer Overflow Respondido em 20/05/2020 13:39:43 3 a Questão Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? Ativo Passivo Secreto Fraco Forte Respondido em 20/05/2020 13:40:09 4 a Questão Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir posteriormente o acesso à máquina invadida para o ata- cante ? Backdoor Spam 0Day Worm Rootkit Respondido em 20/05/2020 13:40:42 5 a Questão Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço específico, sobre o sistema opera- cional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador ? Ataque á Aplicação Ataque aos Sistemas Operacionais Ataque de Configuração mal feita Ataques de códigos pré-fabricados Ataque para Obtenção de Informações Respondido em 20/05/2020 13:41:43 Gabarito Coment. 6 a Questão Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Consiste na verificação do lixo em busca de in- formações que possam facilitar o ataque. É uma técnica eficiente e muito utilizada e que pode ser considerada legal visto que não existem leis a respeito dos lixos. Neste caso é interessante que as informações críticas da organização (planilhas de custos, senhas e outros dados importantes) sejam triturados ou destruídos de alguma forma. Qual seria este ataque: Packet Sniffing. Syn Flooding. Ip Spoofing. Dumpster diving ou trashing. Port Scanning. Respondido em 20/05/2020 13:45:28 Gabarito Coment. 7 a Questão Qual o nome do ataque que tem o intuito de enviar uma quantidade em "massa" de e-mails muitas das vezes indesejáveis ? Spam Spyware Adware Backdoor Rootkit Respondido em 20/05/2020 13:45:57 Gabarito Coment. 8 a Questão Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão? SQL Injection DDos Source Routing Shrink wrap code Phishing Scan 1 a Questão Sobre a Gestão de Riscos, leia as afirmações e, a seguir, assinale a correta: I. O risco tem duas dimensões: a probabilidade de ocorrência e o impacto sobre o projeto. II. Dificilmente as chances de um risco podem ser eliminadas totalmente sem que o projeto seja reformulado. III. A gestão de riscos só visa o monitoramento para detecção de ameaças. Somente as afirmações I e II estão corretas Somente as afirmações I e III estão corretas Somente a afirmação III está correta Somente a afirmação I está correta Somente a afirmação II está correta Respondido em 22/05/2020 11:39:58 Explicação: Em função do monitoramento contínuo do ambiente organizacional externo e interno, a gestão de riscos pode detectar oportunidades e de- terminar como aproveitá-las. Portanto, o foco é minimizar o impacto de potenciais eventos negativos e obter plena vantagem de oportunida- des com vistas a melhoramentos. O risco tem duasdimensões: a probabilidade de sua ocorrência e o impacto sobre o projeto. Portanto, é necessáriocompreender dimensões para que se possa administrar o risco. Importante ressaltar que dificilmente as chances de um risco po- dem ser eliminadas totalmente sem que o projeto seja reformulado. 2 a Questão Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no momento da descoberta ? 0day Rootkit Adware Spam Backdoor Respondido em 22/05/2020 11:44:04 3 a Questão Qual o nome da técnica/ataque ou maneira de identificar trafego de dados que "passam" em uma rede de computadores ? Monitor Sniffer Spyware Keylogger DoS Respondido em 22/05/2020 11:48:13 Gabarito Coment. 4 a Questão Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos numéricos pa- ra os componentes associados ao risco. Método Quantitativo Método Exploratório. Método Classificatório Método Numérico. Método Qualitativo Respondido em 22/05/2020 11:53:08 5 a Questão Qual das opções abaixo não representa uma das etapas da Gestão de Risco: Identificar e avaliar os riscos. Verificar e analisar criticamente os riscos. Selecionar, implementar e operar controles para tratar os riscos. Manter e melhorar os riscos identificados nos ativos Manter e melhorar os controles Respondido em 22/05/2020 11:54:20 6 a Questão Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ? Bot/Botnet Spyware Phishing Spammer Rootkit Respondido em 22/05/2020 11:55:33 Gabarito Coment. 7 a Questão Em relação aos riscos que as empresas estão susceptíveis, analise as afirmações abaixo: I-A ameaça pode ser conceituada como algo que tenha potencial a ser violado em uma determinada circunstância, ação ou evento. II-A multiplicação de uma probabilidade de uma ameaça e a de uma vulnerabilidade produz o risco daquele evento específico III-Podemos definir vulnerabilidade como sendo os pontos fracos que podem ser explorados pelas ameaças existentes Assinale apenas a opção com afirmações corretas: Apenas I Apenas III I, II e III Apenas II Apenas I e III Respondido em 22/05/2020 11:57:25 Explicação: Todas estão corretas 8 a Questão Qual o nome do processo malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ? Bot/Botnet Rootkit Spammer Spyware Phishing Respondido em 22/05/2020 11:58:37 Gabarito Coment. 1 a Questão De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve: ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização. apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos. conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção. conter o registro dos incidentes de segurança da organização. revelar informações sensíveis da organização. Respondido em 22/05/2020 15:53:53 Gabarito Coment. 2 a Questão Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? ISO/IEC 27001 ISO/IEC 27004 ISO/IEC 27005 ISO/IEC 27003 ISO/IEC 27002 Respondido em 22/05/2020 15:54:38 Gabarito Coment. 3 a Questão Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de trata- mento do risco pelos gestores da organização. Os riscos residuais são conhecidos antes da comunicação do risco. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. Respondido em 22/05/2020 16:02:34 Gabarito Coment. 4 a Questão Sobre a segurança da informação no ambiente corporativo, leia as asserções a seguir: I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente. II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resulta- dos e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto. III. Antigamente a atenção dada à segurança da informação estava focada apenas nas pessoas. Atualmente, notamos que o desafio está na tecnologia. Após a leitura, analise a alternativas e assinale a correta. Somente as asserções I e III estão corretas Somente as asserções II e III estão corretas Somente as asserções I e II estão corretas Somente a asserção III está correta Somente a asserção II está correta Respondido em 22/05/2020 16:05:42 Explicação: I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente. II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resulta- dos e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto. III. Antigamente a atenção dada à segurança da informação estava focada apenas na tecnologia. Atualmente, notamos que o desafio vai além desta amplitude e engloba, também, a construção de uma relação de confiabilidade com os clientes e parceiros da empresa. 5 a Questão Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: Análise/avaliação sistemática dos riscos de segurança da informação Análise/revisão sistemática dos ativos de segurança da informação Análise/avaliação sistemática dos incidentes de segurança da informação Análise/orientação sistemática dos cenários de segurança da informação Identificação/avaliação sistemática dos eventos de segurança da informação Respondido em 22/05/2020 16:11:27 6 a Questão Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usu- ário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? Confidencialidade; Integridade; Auditoria; Não-Repúdio; Autenticidade; Respondido em 22/05/2020 16:15:35 Gabarito Coment. 7 a Questão Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes? Manuais. Procedimentos. Normas. Diretrizes. Relatório Estratégico. Respondido em 22/05/2020 16:16:32 Gabarito Coment. 8 a Questão O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a ges- tão de segurança de informação em uma empresa.A norma deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos. A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização. Essa descrição está relacionada com qual norma? NBR ISO/IEC 7002 NBR ISO/IEC 28002 NBR ISO/IEC 27052 NBR ISO/IEC 27002 NBR ISO/IEC 27012 Respondido em 22/05/2020 16:21:45 Explicação: NBR ISO/IEC 27002 1 a Questão Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: Definir e medir a eficácia dos controles ou grupos de controle selecionados. Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. Respondido em 25/05/2020 10:59:06 2 a Questão A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a reali- zação desta análise: Os resultados das auditorias anteriores e análises críticas A avaliação dos riscos e incidentes desejados Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores A avaliação das ações preventivas e corretivas A realimentação por parte dos envolvidos no SGSI Respondido em 25/05/2020 11:01:34 Gabarito Coment. 3 a Questão A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas. Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa: Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação. Esta etapa implementa através de programas de conscientização e treinamento para os funcionários em rela- ção as operações e recursos do SGSI. Nesta etapa são colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas an- teriores. Nenhuma das opções anteriores. É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. Respondido em 25/05/2020 11:05:11 Explicação: A primeira etapa do PDCA é o Plan (planejamento), que estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação. 4 a Questão A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organiza- ções. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo: I-A norma ISO/IEC 27001 aborda a política de segurança da informação que é uma declaração da empresa em rela- ção ao seu compromisso com a proteção dos ativo da informação II-inclui a estruturação necessária para definir objetivos e estabelecer a orientação global e os princípios para ativida- des que envolvam a segurança da informação. III-Identifica as obrigações dos contratos de segurança, regulamentações e os requisitos da organização; Assinale apenas a opção que contenha afirmações corretas: Apenas II Apenas I e II Apenas II e III I, II e III Apenas I Respondido em 25/05/2020 11:07:19 Explicação: Todas estão corretas 5 a Questão Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um ní- vel aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: Identificar, Analisar e avaliar os riscos. A abordagem de análise/avaliação das vulnerabilidades da organização. Identificar e avaliar as opções para o tratamento das vulnerabilidades. A política do BIA. A politica de gestão de continuidade de negócio. Respondido em 25/05/2020 11:08:49 6 a Questão A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informa- ção. Sobre essa norma analise as afirmativas abaixo: I-Estabelece os limites e critérios para definir quais os riscos que serão avaliados; II-A norma ISO/IEC 27001 é certificadora, o que significa que é utilizada por institutos credenciados em diversos países. III-A norma NBR ISO/IEC 27001 também apresenta como objetivo especificar os requisitos de um Sistema de Gestão de Segurança da Infor- mação (SGSI), que é baseado nos riscos da organização. Assinale a opção que contenha apenas afirmações corretas: I, II e III Apenas II Apenas I Apenas I e III Apenas III Respondido em 25/05/2020 11:10:57 Explicação: Todas são verdadeiras 7 a Questão A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança re- conhecidas no mercado implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Geren- tes de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e pa- drões comerciais. Respondido em 25/05/2020 11:12:53 8 a Questão A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de se- gurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Correção. Prevenção e Preventivas. Corretivas e Corrigidas. Corretivas e Preventivas. Corrigidas e Preventivas. 1 a Questão Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos. A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efei- tos. A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. Respondido em 25/05/2020 11:56:26 2 a Questão Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que: As metas e objetivos dos clientes sejam comprometidos por interrupçõesinesperadas As metas e objetivos definidos sejam comprometidos por interrupções inesperadas As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas Respondido em 25/05/2020 11:57:44 3 a Questão A norma NBR ISO/IEC 22313 também adota o ciclo PDCA a fim de utilizar essa ferramenta para planejar, implementar, analisar e melhor a eficiência do sistema de gestão de continuidade do negócio. "Ocorre o planejamento e o estabelecimento de uma política de continuidade de negócios, por meio da definição dos objetivos, metas, con- troles, processos e procedimentos importantes para a melhoria da continuidade de negócios a fim de obter resultados alinhados com os obje- tivos e políticas gerais da organização." Essa descrição é sobre qual etapa do ciclo PDCA? Check Plan Act DO Nenhuma das opções anteriores Respondido em 25/05/2020 11:58:25 Explicação: etapa do planejamento 4 a Questão A gestão de continuidade de negócios (GCN) faz parte de um processo que possibilita que uma organização lide com os incidentes de inter- rupção que poderiam impedi-la de atingir seus objetivos. Sobre a GCN analise as afirmativas abaixo: I-A continuidade de negócios pode ser descrita pela capacidade de continuar a entregar seus produtos e serviços em níveis aceitáveis após a ocorrência de um incidente de interrupção. II-Através da integração da gestão de continuidade de negócios (GCN) e de uma estrutura sistêmica de gestão da organização é que criamos um Sistema de Gestão de Continuidade de Negócios (SGCN). III-O SGCN pode ser aplicado apenas em empresas de porte grande. Assinale a opção que contenha apenas afirmações verdadeiras: Apenas III Apenas I I, II e III Apenas I e III Apenas I e II Respondido em 25/05/2020 12:00:27 Explicação: O SGCN pode ser aplicado em empresas de porte grande, médio e pequeno e que operem em setores industrial, comercial, público e sem fins lucrativos. 5 a Questão Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem imple- mentar para a identificação das atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade ? Auditoria interna Análise de vulnerabilidade Análise de risco Análise de impacto dos negócios (BIA) Classificação da informação Respondido em 25/05/2020 12:04:47 Gabarito Coment. 6 a Questão Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada? Tomar controle da situação Confirmar a natureza e extensão do incidente Afastar o incidente do cliente Comunicar-se com as partes interessadas Controlar o incidente Respondido em 25/05/2020 12:06:09 Gabarito Coment. 7 a Questão Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um inci- dente para manter ou restaurar as operações. No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento: Entendendo a organização. Determinando a estratégia de continuidade de negócios. Incluindo a GCN na cultura da organização. Testando, mantendo e analisando criticamente os preparativos de GCN. Desenvolvendo e implementando uma resposta de GCN. Respondido em 25/05/2020 12:09:01 Gabarito Coment. 8 a Questão De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de continuidade do negócio (GCN). GCN é uma abordagem alternativa à gestão de riscos de segurança da informação. A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de interrupção das atividades críticas da organização. GCN é a fase inicial da implantação da gestão de continuidade em uma organização. A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou) atividades críticas e recursos de suporte de uma organização. A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a incidentes, de continuidade e de comunicação. Respondido em 25/05/2020 12:09:47 Gabarito Coment. 1 a Questão Analise as seguintes afirmações relacionadas à Segurança da Informação e os objetivos do controle de acesso: I. A disponibilidade é uma forma de controle de acesso que permite identificar os usuários legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado. II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente. III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que inspeciona uma rede de dentro para fora, identifica e avalia padrões suspeitos que podem identificar um ataque à rede e emite um alarme quando existe a suspeita de uma invasão. IV. A integridade é uma forma de controle de acesso que evita o acesso de pessoas não autorizadas a informações confiden- ciais, salvaguardando segredos de negócios e protegendo a privacidade de dados pessoais. Indique a opção que contenha todas as afirmações verdadeiras. II e III. III e IV. I e III. I e II. II e IV. Respondido em 25/05/2020 12:50:55 Gabarito Coment. 2 a Questão Considerando que um usuário deseje enviar um e-mail criptografado, assinale a alternativa que apresenta a chave do destinatário que esse usuário deverá conhecer para realizar corretamente a criptografia. Chave criptografada privada Chave certificada Chave pública Chave criptografada pública Chave privada Respondido em 25/05/2020 12:52:19 3 a Questão São exemplos de ativos associados a sistemas (pertinentes para a identificação de ameaças), exceto: Pessoas Softwares Informação Serviços Hardware Respondido em 25/05/2020 12:54:34 4 a Questão Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor Internet para que os clien- tes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? ligado diretamente no roteador de borda na Zona Desmilitarizada (DMZ) suja na rede interna da organização em uma subrede interna protegida por um proxy na Zona Desmilitarizada (DMZ) protegida Respondido em 25/05/2020 12:59:55 5 a Questão Dentre as vantagens de utilização de normas, podemos destacar as seguintes, EXCETO: Criação de vantagens competitivas Compartilhamento de informações com os stakeholders Desenvolvimento e manutenção das melhores práticas Atrair e manter clientes Demonstração de liderança de mercado Respondido em 25/05/2020 13:00:39 6 a Questão Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e a internet e impedir a transmissão e/ou recepção de aces- sos nocivos ou não autorizados. Mailing. Firewall. Antivírus. Adware. Spyware. Respondido em 25/05/2020 13:01:44 7 a Questão Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus componentes ? Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de proteção Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou não confiável. Redes Não Confiáveis - Não possuem políticas de segurança. Redes Não Confiáveis - Não é possível informar senecessitam de proteção. Redes Não Confiáveis - Não possuem controle da administração. Respondido em 25/05/2020 13:02:48 1a Questão Acerto: 1,0 / 1,0 O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não pode ser con- siderada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; Respondido em 20/05/2020 13:52:37 2a Questão Acerto: 1,0 / 1,0 As ameaças são os principais perigos a que uma empresa está́ susceptível. Essas ameaças podem ser classificadas em: Ameaças intencionais Ameaças relacionadas aos equipamentos Ameaças relativas a um evento natural Ameaças não intencionais Em relação as ameaças não internacionais, podemos afirmar: Nenhuma das opções acima Quando um equipamento apresenta falhas de hardware ou mesmo de software, seja por defeito ou mesmo por bugs. Colaboradores especializados podem induzir falhas aos sistemas por eles administrados. São as ameaças divulgadas pela mídia e nas quais os produtos de segurança podem atuar melhor. Podem ser do tipo agentes internos ou externos. Em que agentes externos podem ter acesso ao sistema de várias formas. Apesar do foco dos dispositivos de segurança normalmente ser o agente do tipo externo, a maior parte dos problemas de segurança é provocada por agentes do tipo internos. Esse grupo de ameaças incluem todos os equipamentos ou instalações físicas de uma empresa, que podem es- tar sujeitos a fogo, inundações, quedas de energia. É possível minimizar as chances de que o dano seja severo e também fazer um planejamento para a recuperação após a ocorrência de um desastre de ordem natural. são os perigos trazidos pela falta de conhecimento. Por exemplo, um usuário ou administrador de sistema que não tenha recebido treinamento adequado, que não tenha lido a documentação, ou que não tenha entendido a importância do cumprimento das regras de segurança estabelecidas pela organização. A maior parte dos danos causados no sistema surge pela ignorância de usuários ou administradores e não por ações maliciosas. Respondido em 20/05/2020 14:00:50 3a Questão Acerto: 0,0 / 1,0 Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir. I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. Representam vulnerabilidades dos ativos de informação o que consta em: I, II, III e IV. I e III, somente. I, II e IV, somente. I, III e IV, somente. II e III, somente. Respondido em 20/05/2020 14:02:46 Gabarito Coment. 4a Questão Acerto: 0,0 / 1,0 Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? Captura de senhas bancárias e números de cartões de crédito; Alteração da página inicial apresentada no browser do usuário; Alteração ou destruição de arquivos; Monitoramento de URLs acessadas enquanto o usuário navega na Internet Captura de outras senhas usadas em sites de comércio eletrônico; Respondido em 20/05/2020 14:04:51 5a Acerto: 0,0 / 1,0 Questão Pedro construiu uma página igual a página de uma grande empresa de comércio eletrônico com o objetivo de capturar as in- formações de usuário e senha e número do cartão de crédito de usuários desavisados. Para obter sucesso enviou mensagem não solicitada com o intuito de induzir o acesso a esta página fraudulenta. Neste caso podemos afirmar que Pedro pratica um ataque de: Buffer Overflow Força bruta Phishing scan IP Spoofing SYN Flooding Respondido em 20/05/2020 14:06:34 6a Questão Acerto: 1,0 / 1,0 Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de incidentes se- quencialmente ? Impacto, ameaça, incidente e recuperação Incidente, impacto, ameaça e recuperação Incidente, recuperação, impacto e ameaça Ameaça, incidente, impacto e recuperação Ameaça, impacto, incidente e recuperação Respondido em 20/05/2020 14:12:36 Gabarito Coment. 7a Questão Acerto: 0,0 / 1,0 A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como objetivo apre- sentar recomendações para: Resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e exe- cutando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação. Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou de- sastres significativos e assegurar a sua retomada em tempo hábil, se for o caso Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam co- municados, permitindo a tomada de ação corretiva em tempo hábil Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detec- tar e resolver incidentes de segurança da informação em tempo hábil Respondido em 20/05/2020 14:14:42 8a Questão Acerto: 0,0 / 1,0 Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informa- ção. Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. Respondido em 20/05/2020 14:18:34 Gabarito Coment. 9a Questão Acerto: 0,0 / 1,0 Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre? Uma catástrofe de grandes impactos. Um ataque massivo pela internet. Um evento que causa uma parada nos processos da organização por um período de tempo maior do que ela conside- ra aceitável. Um evento súbito, que ocorre de maneira inesperada. Eventos de ordem natural ou acidental, como terremotos e incêndios. Respondido em 20/05/2020 14:21:37 Gabarito Coment. 1a Questão Acerto: 1,0 / 1,0 O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da in- formação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de "Informação"? Pode habilitar a empresa a alcançar seus objetivos estratégicos; É dado trabalhado, que permite ao executivo tomar decisões; Possui valor e deve ser protegida; Por si só não conduz a uma compreensão de determinado fato ou situação; É a matéria-prima para o processo administrativoda tomada de decisão; Respondido em 25/05/2020 16:43:40 2a Questão Acerto: 0,0 / 1,0 As ameaças são os principais perigos a que uma empresa está́ susceptível. Essas ameaças podem ser classificadas em: Ameaças intencionais Ameaças relacionadas aos equipamentos Ameaças relativas a um evento natural Ameaças não intencionais Em relação as ameças relacionadas aos equipamentos, podemos afirmar: Quando um equipamento apresenta falhas de hardware ou mesmo de software, seja por defeito ou mesmo por bugs. Colaboradores especializados podem induzir falhas aos sistemas por eles administrados. Nenhuma das opções abaixo esse grupo de ameaças incluem todos os equipamentos ou instalações físicas de uma empresa, que podem estar su- jeitos a fogo, inundações, quedas de energia. É possível minimizar as chances de que o dano seja severo e também fazer um planejamento para a recuperação após a ocorrência de um desastre de ordem natural. São as ameaças divulgadas pela mídia e nas quais os produtos de segurança podem atuar melhor. Podem ser do tipo agentes internos ou externos. Em que agentes externos podem ter acesso ao sistema de várias formas. Apesar do foco dos dispositivos de segurança normalmente ser o agente do tipo externo, a maior parte dos problemas de segu- rança é provocada por agentes do tipo internos. São os perigos trazidos pela falta de conhecimento. Por exemplo, um usuário ou administrador de sistema que não tenha recebido treinamento adequado, que não tenha lido a documentação, ou que não tenha entendido a importân- cia do cumprimento das regras de segurança estabelecidas pela organização. A maior parte dos danos causados no sistema surge pela ignorância de usuários ou administradores e não por ações maliciosas. Respondido em 25/05/2020 16:42:44 3a Questão Acerto: 1,0 / 1,0 A empresa de segurança cibernética IntelCrawler descobriu no dia 17 de janeiro de 2014 ao menos seis ataques em anda- mento contra varejistas nos Estados Unidos cujos sistemas de cartão de crédito estão infectados com o mesmo tipo de soft- ware malicioso usado para roubar dados de cerca de 40 milhões de cartões de crédito da rede Target. O software malicioso que foi usado para tal feito foi o BlackPOS. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Física. Vulnerabilidade Software. Vulnerabilidade de Comunicação. Vulnerabilidade Natural. Vulnerabilidade de Mídias. Respondido em 25/05/2020 16:51:35 Gabarito Coment. 4a Questão Acerto: 1,0 / 1,0 As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classi- ficadas como: Voluntárias Insconsequentes Globalizadas Destrutivas Tecnológicas. Respondido em 25/05/2020 17:12:49 Gabarito Coment. 5a Questão Acerto: 1,0 / 1,0 Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu objetivo o invasor tentará levantar es- tas informações através da escuta das portas do protocolo TCP e UDP. Neste caso estamos nos referindo a um ataque do ti- po: Port Scanning Fraggle SYN Flooding Three-way-handshake Fragmentação de Pacotes IP Respondido em 25/05/2020 17:19:28 6a Questão Acerto: 1,0 / 1,0 Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da Informação: Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos Tudo aquilo que tem origem para causar algum tipo de erro nos ativos Respondido em 25/05/2020 17:22:00 7a Questão Acerto: 1,0 / 1,0 Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos? Manuais; Normas e Procedimentos Diretrizes; Normas e Procedimentos Diretrizes; Manuais e Procedimentos Manuais; Normas e Relatórios Diretrizes; Normas e Relatórios Respondido em 25/05/2020 17:28:04 8a Questão Acerto: 1,0 / 1,0 A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas. Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa: Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação. Nesta etapa são colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas an- teriores. É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. Esta etapa implementa através de programas de conscientização e treinamento para os funcionários em rela- ção as operações e recursos do SGSI. Nenhuma das opções anteriores. Respondido em 25/05/2020 17:30:40 9a Questão Acerto: 1,0 / 1,0 Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que: As metas e objetivos definidos sejam comprometidos por interrupções inesperadas As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas Respondido em 25/05/2020 17:32:24
Compartilhar