Conceitos de Informação e Segurança da Informação

Prévia do material em texto

1
a
 Questão
Trata-se de " [...] uma sequência de símbolos quantificados ou quantificáveis. [...]" Também são ______ fotos, figuras, sons gravados e ani-
mação." Tal conceito refere-se a:
Dado
Sistemas de Informação
Nenhuma da alternativas anteriores
Informação
Conhecimento
Respondido em 19/05/2020 16:38:52
2
a
 Questão
Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro foram transferidos sem que
os clientes soubessem. Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso
qual o tipo de ativo foi envolvido nesta situação?
Intangível
Tangível
Ativo
Abstrato
Passivo
Respondido em 19/05/2020 16:44:59
3
a
 Questão
A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma
organização (empresa) ou um indivíduo. Um de suas propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor
este princípio:
Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade,
sistema ou processo autorizado e aprovado.
Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, sistemas ou processos autorizados e
aprovados, não deveriam ser passíveis de cancelamento posterior.
Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou processos.
Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprova-
da.
Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usu-
ários, entidades, sistemas ou processos não autorizados e aprovados.
Respondido em 19/05/2020 16:49:45
4
a
 Questão
Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
I-A informação é uma mercadoria capaz de produzir conhecimento, e a informação incluída em um sinal é o que podemos aprender dela... O
conhecimento é identificado com a crença produzida (ou sustentada) pela informação.
II-A informação atualmente é um recurso estratégico para empresas, possibilitando a sustentabilidade do negócio, gerando conhecimento so-
bre os processos e apoiando as tomadas de decisões.
III-A informação deve ser cuidada por meio de políticas e regras, da mesma maneira que os recursos financeiro e material são tratados den-
tro da empresa.
Somente I e III
I, II e III
Somente II
Somente I e II
Somente I
Respondido em 19/05/2020 16:50:50
Explicação:
Todas estão corretas
5
a
 Questão
"É um conjunto organizado de dados, que constitui uma mensagem sobre um determinado fenômeno ou evento."
"Permite resolver problemas e tomar decisões, tendo em conta que o seu uso racional é base do conhecimento."
"É um fenômeno que confere significado ou sentido às coisas, já que através de códigos e de conjuntos de dados, forma os modelos do pen-
samento humano."
As citações supracitadas dizem respeito ao conceito de: (assinale a alternativa correta)
Hardware
Redes de Telecomunicação
Software
Informação
Internet
Respondido em 19/05/2020 16:52:04
Explicação:
A informação é um conjunto organizado de dados, que constitui uma mensagem sobre um determinado fenômeno ou evento. A informação
permite resolver problemas e tomar decisões, tendo em conta que o seu uso racional é base do conhecimento. A informação é um fenômeno
que confere significado ou sentido às coisas, já que através de códigos e de conjuntos de dados, forma os modelos do pensamento humano.
6
a
 Questão
O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuí-
zos decorrentes de situações inesperadas está relacionado com qual conceito?
Impacto.
Vulnerabilidade.
Valor.
Ameaça.
Risco.
Respondido em 19/05/2020 16:53:14
Gabarito
Coment.
7
a
 Questão
O propósito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos disponíveis (pessoas, materi-
ais, equipamentos, tecnologia, dinheiro e informação). Neste contexto podemos a afirmar que ________________________é o elemento
identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação.
a informação
o arquivo
o conhecimento
o registro
o dado
Respondido em 19/05/2020 16:53:46
Gabarito
Coment.
Gabarito
Coment.
8
a
 Questão
Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
I-A informação de uma empresa na maioria das vezes pode ser pública, para que prejudique o funcionamento, inte-
gridade, estratégias e tomadas de decisões da empresa.
II-A informação torna-se um dos ativos mais importantes e valiosos dentro de uma organização, pois são cruciais pa-
ra a eficácia das estratégias de uma empresa.
III-A informação é primordial para realizar com eficácia todos os processos de uma empresa, sendo assim um ele-
mento que pode conduzir a empresa ao sucesso ou ao fracasso caso essas informações não estejam corretas
Somente III
Somente I e III
Somente I
I, II e III
Somente II e III
Respondido em 19/05/2020 16:54:50
Explicação:
O certo seria:
A informação de uma empresa na maioria das vezes não pode ser pública, para que não
prejudique o funcionamento, integridade, estratégias e tomadas de decisões da empre-
sa.
1
a
 Questão
Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como o banco pode garantir-se de que, posteriormente,
João venha a afirmar que não foi ele quem fez o acesso? Neste caso estamos falando de:
Não-repúdio
Autenticação
Integridade
Confidencialidade
Disponibilidade
Respondido em 19/05/2020 17:38:16
Gabarito
Coment.
2
a
 Questão
O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos
são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que por sua
vez, mantêm a operação da empresa. Estes momentos são denominados:
Manuseio, armazenamento, transporte e descarte
Criação, utilização, armazenamento e compartilhamento
Criação, compartilhamento, utilização e descarte
Iniciação, processamento, utilização e remoção
Manuseio, transporte, compartilhamento e remoção
Respondido em 19/05/2020 17:41:58
Gabarito
Coment.
3
a
 Questão
VULNERABILIDADE DE SEGURANÇA O ciclo de vida da informação Suponha que João deseja utilizar os serviços oferecidos via Internet por
seu banco. Como João pode ter certeza de que está dialogando com seu banco e não com alguém que se faz passar por ele? Neste caso es-
tamos falando de:
Confidencialidade
Disponibilidade
Autenticação
Legalidade
Não-repúdio
Respondido em 19/05/2020 17:42:51
4
a
 Questão
A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para:
A gestão de orçamento.
A gestão dos negócios da organização .
A gestão do ciclo da informação interna.
A gestão da área comercial.
A gestão dos usuários.
Respondido em 19/05/2020 17:45:13
5
a
 Questão
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿audito-
res¿. Um usuário de um outro grupo, o grupo ¿estudante¿, tenta acessar o sistema em busca de uma informação que somente o grupo ¿au-
ditores¿ tem acesso e consegue. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à:
Integridade;
Disponibilidade;
Confidencialidade;
Não-Repúdio;
Auditoria;
Respondido em 19/05/2020 17:46:58
6
a
 Questão
Sobre o conceito: " [...] é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em desiquilíbrio operacional e, eventual-
mente, a perdas financeiras ou de confiabilidade perante o cliente externo". Tal conceituaçãorefere-se a qual tipo de informação, no que tan-
ge ao nível de prioridade da mesma, segundo Wadlow (2000)?
Nenhuma das alternativas anteriores
Informação Interna
Informação Pública
Informação confidencial
Informação secreta
Respondido em 19/05/2020 17:49:01
7
a
 Questão
Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilida-
de¿. Esta afirmação é:
verdadeira desde que seja considerada que todas as informações são publicas.
falsa, pois a informação não deve ser avaliada pela sua disponibilidade.
verdadeira, pois a classificação da informação pode ser sempre reavaliada.
falsa, pois não existe alteração de nível de segurança de informação.
verdadeira se considerarmos que o nível não deve ser mudado.
Respondido em 19/05/2020 17:50:39
8
a
 Questão
A informação é um ativo importante dentro da organização, e que deve ser protegido em todas as fases do seu ciclo de vida. Aponte dentre
as alternativas abaixo aquela que corresponde ao correto ciclo de vida da informação:
Geração, Transporte, Armazenamento, Manuseio e Descarte.
Criação, Edição, Correção, Manuseio e Descarte
Geração, Edição, Correção, Divulgação e Descarte
Geração, Transporte, Publicação, Apreciação e Arquivamento.
Desarquivamento, Transporte, Edição, Manuseio e Descarte
Respondido em 19/05/2020 17:55:00
Gabarito
Coment.
1
a
 Questão
Analise o trecho abaixo:
"Além da falta de água nas torneiras, a crise hídrica começa agora a afetar também a distribuição de energia elétrica no país. Cidades de ao
menos sete unidades federativas do Brasil e no Distrito Federal registraram cortes severos, na tarde desta segunda-feira." Jornal O DIA, em
19/01/2015.
Neste caso as empresas de Tecnologia que estão localizadas no município apresentam a vulnerabilidade do tipo:
Hardware
Natural
Mídia
Comunicação
Física
Respondido em 19/05/2020 19:10:18
Gabarito
Coment.
2
a
 Questão
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador
para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e
acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física:
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibili-
dade de recursos quando necessários.
Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
Respondido em 19/05/2020 19:12:04
Gabarito
Coment.
3
a
 Questão
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador
para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e
acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Software:
Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibili-
dade de recursos quando necessários.
Respondido em 19/05/2020 19:13:12
4
a
 Questão
Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque DDoS e foi descrito como o maior
já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕES de blogs, incluindo os que fazem parte do serviço VIP da empresa
sofreram com problemas nos acessos. Entre eles, estão inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcan-
çou vários Gigabits por segundo e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do Wordpress, a
investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. Qual você acha que foi a vulnerabilidade pa-
ra este ataque?
Vulnerabilidade Software
Vulnerabilidade Natural
Vulnerabilidade Comunicação
Vulnerabilidade Física
Vulnerabilidade Mídias
Respondido em 19/05/2020 19:16:41
Gabarito
Coment.
5
a
 Questão
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, in-
dependente do seu formato. Uma vez identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar um pro-
cesso de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança,
me refiro ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos definir o que são
vulnerabilidades:
Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus
de computadores, incendiários.
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter
informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.
São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, mare-
motos, aquecimento, poluição, etc.
É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL.
Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças po-
tenciais à continuidade dos negócios das organizações.
Respondido em 19/05/2020 19:20:46
6
a
 Questão
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador
para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e
acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware:
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações.
Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
Respondido em 19/05/2020 19:22:36
Gabarito
Coment.
7
a
 Questão
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "enge-
nheiros". Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo "enge-
nheiros" acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma
falha na segurança da informação para este sistema na propriedade relacionada à:
Integridade
Disponibilidade
Auditoria
Autenticidade
Confidencialidade
Respondido em 19/05/2020 19:24:09
Gabarito
Coment.
Gabarito
Coment.
8
a
 Questão
Ataque feito em 2009 a um servidorde banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os hackers direcionavam os usu-
ários que acessavam o site do banco Bradesco para uma página falsa e roubavam os dados e as senhas destes usuários. O site teve um pro-
blema nos servidores de DNS, que traduziram o endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles
puderam roubar os dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque?
Vulnerabilidade de Software
Vulnerabilidade Mídia
Vulnerabilidade de Comunicação
Vulnerabilidade Física
Vulnerabilidade Natural
Respondido em 19/05/2020 19:25:57
Gabarito
Coment.
1
a
 Questão
Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa
outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um:
cavalo de tróia (trojan horse)
vírus
exploit
active-x
worm
Respondido em 19/05/2020 20:45:24
2
a
 Questão
Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do
ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça¿. Podemos dizer que é:
falsa, pois não devemos considerar que diferentes ameaças existem .
falsa, pois os impactos são sempre iguais para ameaças diferentes.
parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça.
falsa, pois não depende do ativo afetado.
verdadeira
Respondido em 19/05/2020 20:47:17
3
a
 Questão
Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código malicioso ou Malware ?
rootkit
trojan horse
worm
active-x
keyloggers
Respondido em 19/05/2020 20:50:43
4
a
 Questão
As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de
vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade?
Naturais, Voluntarias e Vulneráveis.
Naturais, Involuntárias e Voluntarias.
Naturais, Voluntarias e Obrigatórias.
Naturais, Involuntárias e Obrigatórias.
Ocasionais, Involuntárias e Obrigatórias.
Respondido em 19/05/2020 20:51:32
5
a
 Questão
Você pode perceber que é importante detectar, analisar e depois ¿atacar¿ as ameaças em que as organizações estão
susceptíveis.Em relação as redes de computadores, as ameaças podem surgir através de agente maliciosos, como os
Crakers. Assinale apenas a alternativa que contenha apenas as afirmações corretas:
I-Cracker é uma pessoa que invade um sistema de segurança com o objetivo de roubar ou destruir informações dos
sistemas.
II-Os Cracker não possuem como objetivo invadir um sistema com a intenção de causar algum dano especifico.
III-Os crackers já possuem características opostas, eles possuem prática na quebra da segurança dos sistemas e soft-
wares e utilizam o conhecimento adquirido de forma a causar algum dano e de forma ilegal.
Apenas I
Apenas II
Apenas I e II
Apenas I e III
I, II e III
Respondido em 19/05/2020 20:53:37
Explicação:
A Qquestão II refere-se a um Hacker.
6
a
 Questão
Pedro construiu um software malicioso capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador pa-
ra computador. Neste caso o programa poderá afetar o desempenho da rede e a utilização do computador. Neste caso podemos afirmar que
Pedro construiu um:
Trojan
Keylogger
Screenlogger
Worm
Backdoor
Respondido em 19/05/2020 20:54:29
7
a
 Questão
Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua origem, neste caso quais das
opções abaixo apresenta a classificação quanto a origem para as ameaças ?
Interna e Externa
Secreta e Oculta
Interna e Oculta
Secreta e Externa
Conhecida e Externa
Respondido em 19/05/2020 20:56:16
8
a
 Questão
Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo teclado do usuário e é enviado para o
invasor ?
Spyware
Keylogger
Phishing
Defacement
Backdoor
Respondido em 19/05/2020 20:56:21
1
a
 Questão
Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente segue para realizar um Ataque de Segurança
:
Levantamento, Exploração, Obtenção, Manutenção e Camuflagem
Obtenção, Exploração, Levantamento, Manutenção e Camuflagem
Exploração, Levantamento, Obtenção, Manutenção e Camuflagem
Levantamento, Obtenção, Exploração, Manutenção e Camuflagem
Obtenção, Levantamento, Exploração, Manutenção e Camuflagem
Respondido em 20/05/2020 13:37:57
2
a
 Questão
A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de informações inconsistentes pa-
ra um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de:
Smurf
SQL injection
Fragmentação de pacotes IP
Fraggle
Buffer Overflow
Respondido em 20/05/2020 13:39:43
3
a
 Questão
Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões?
Ativo
Passivo
Secreto
Fraco
Forte
Respondido em 20/05/2020 13:40:09
4
a
 Questão
Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir posteriormente o acesso à máquina invadida para o ata-
cante ?
Backdoor
Spam
0Day
Worm
Rootkit
Respondido em 20/05/2020 13:40:42
5
a
 Questão
Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço específico, sobre o sistema opera-
cional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador ?
Ataque á Aplicação
Ataque aos Sistemas Operacionais
Ataque de Configuração mal feita
Ataques de códigos pré-fabricados
Ataque para Obtenção de Informações
Respondido em 20/05/2020 13:41:43
Gabarito
Coment.
6
a
 Questão
Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Consiste na verificação do lixo em busca de in-
formações que possam facilitar o ataque. É uma técnica eficiente e muito utilizada e que pode ser considerada legal visto que não existem
leis a respeito dos lixos. Neste caso é interessante que as informações críticas da organização (planilhas de custos, senhas e outros dados
importantes) sejam triturados ou destruídos de alguma forma. Qual seria este ataque:
Packet Sniffing.
Syn Flooding.
Ip Spoofing.
Dumpster diving ou trashing.
Port Scanning.
Respondido em 20/05/2020 13:45:28
Gabarito
Coment.
7
a
 Questão
Qual o nome do ataque que tem o intuito de enviar uma quantidade em "massa" de e-mails muitas das vezes indesejáveis ?
Spam
Spyware
Adware
Backdoor
Rootkit
Respondido em 20/05/2020 13:45:57
Gabarito
Coment.
8
a
 Questão
Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a
tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão?
SQL Injection
DDos
Source Routing
Shrink wrap code
Phishing Scan
1
a
 Questão
Sobre a Gestão de Riscos, leia as afirmações e, a seguir, assinale a correta:
I. O risco tem duas dimensões: a probabilidade de ocorrência e o impacto sobre o projeto.
II. Dificilmente as chances de um risco podem ser eliminadas totalmente sem que o projeto seja reformulado.
III. A gestão de riscos só visa o monitoramento para detecção de ameaças.
Somente as afirmações I e II estão corretas
Somente as afirmações I e III estão corretas
Somente a afirmação III está correta
Somente a afirmação I está correta
Somente a afirmação II está correta
Respondido em 22/05/2020 11:39:58
Explicação:
Em função do monitoramento contínuo do ambiente organizacional externo e interno, a gestão de riscos pode detectar oportunidades e de-
terminar como aproveitá-las. Portanto, o foco é minimizar o impacto de potenciais eventos negativos e obter plena vantagem de oportunida-
des com vistas a melhoramentos. O risco tem duasdimensões: a probabilidade de sua ocorrência e o impacto sobre o projeto. Portanto, é
necessáriocompreender dimensões para que se possa administrar o risco. Importante ressaltar que dificilmente as chances de um risco po-
dem ser eliminadas totalmente sem que o projeto seja reformulado.
2
a
 Questão
Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no momento da descoberta ?
0day
Rootkit
Adware
Spam
Backdoor
Respondido em 22/05/2020 11:44:04
3
a
 Questão
Qual o nome da técnica/ataque ou maneira de identificar trafego de dados que "passam" em uma rede de computadores ?
Monitor
Sniffer
Spyware
Keylogger
DoS
Respondido em 22/05/2020 11:48:13
Gabarito
Coment.
4
a
 Questão
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos numéricos pa-
ra os componentes associados ao risco.
Método Quantitativo
Método Exploratório.
Método Classificatório
Método Numérico.
Método Qualitativo
Respondido em 22/05/2020 11:53:08
5
a
 Questão
Qual das opções abaixo não representa uma das etapas da Gestão de Risco:
Identificar e avaliar os riscos.
Verificar e analisar criticamente os riscos.
Selecionar, implementar e operar controles para tratar os riscos.
Manter e melhorar os riscos identificados nos ativos
Manter e melhorar os controles
Respondido em 22/05/2020 11:54:20
6
a
 Questão
Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para
destinar um ataque que seja o alvo do atacante ?
Bot/Botnet
Spyware
Phishing
Spammer
Rootkit
Respondido em 22/05/2020 11:55:33
Gabarito
Coment.
7
a
 Questão
Em relação aos riscos que as empresas estão susceptíveis, analise as afirmações abaixo:
I-A ameaça pode ser conceituada como algo que tenha potencial a ser violado em uma determinada circunstância, ação ou evento. 
II-A multiplicação de uma probabilidade de uma ameaça e a de uma vulnerabilidade produz o risco daquele evento específico
III-Podemos definir vulnerabilidade como sendo os pontos fracos que podem ser explorados pelas ameaças existentes
Assinale apenas a opção com afirmações corretas:
Apenas I
Apenas III
I, II e III
Apenas II
Apenas I e III
Respondido em 22/05/2020 11:57:25
Explicação:
Todas estão corretas
8
a
 Questão
Qual o nome do processo malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para
destinar um ataque que seja o alvo do atacante ?
Bot/Botnet
Rootkit
Spammer
Spyware
Phishing
Respondido em 22/05/2020 11:58:37
Gabarito
Coment.
1
a
 Questão
De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve:
ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização.
apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de
gestão de riscos.
conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção.
conter o registro dos incidentes de segurança da organização.
revelar informações sensíveis da organização.
Respondido em 22/05/2020 15:53:53
Gabarito
Coment.
2
a
 Questão
Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ?
ISO/IEC 27001
ISO/IEC 27004
ISO/IEC 27005
ISO/IEC 27003
ISO/IEC 27002
Respondido em 22/05/2020 15:54:38
Gabarito
Coment.
3
a
 Questão
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de trata-
mento do risco pelos gestores da organização.
Os riscos residuais são conhecidos antes da comunicação do risco.
A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
Respondido em 22/05/2020 16:02:34
Gabarito
Coment.
4
a
 Questão
Sobre a segurança da informação no ambiente corporativo, leia as asserções a seguir:
I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma,
pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente.
II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resulta-
dos e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto.
III. Antigamente a atenção dada à segurança da informação estava focada apenas nas pessoas. Atualmente, notamos que o desafio está na
tecnologia.
Após a leitura, analise a alternativas e assinale a correta.
Somente as asserções I e III estão corretas
Somente as asserções II e III estão corretas
Somente as asserções I e II estão corretas
Somente a asserção III está correta
Somente a asserção II está correta
Respondido em 22/05/2020 16:05:42
Explicação:
I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma,
pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente.
II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resulta-
dos e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto.
III. Antigamente a atenção dada à segurança da informação estava focada apenas na tecnologia. Atualmente, notamos que o desafio vai
além desta amplitude e engloba, também, a construção de uma relação de confiabilidade com os clientes e parceiros da empresa.
5
a
 Questão
Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma:
Análise/avaliação sistemática dos riscos de segurança da informação
Análise/revisão sistemática dos ativos de segurança da informação
Análise/avaliação sistemática dos incidentes de segurança da informação
Análise/orientação sistemática dos cenários de segurança da informação
Identificação/avaliação sistemática dos eventos de segurança da informação
Respondido em 22/05/2020 16:11:27
6
a
 Questão
Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usu-
ário digitado. Neste caso Pedro está utilizado qual propriedade de segurança?
Confidencialidade;
Integridade;
Auditoria;
Não-Repúdio;
Autenticidade;
Respondido em 22/05/2020 16:15:35
Gabarito
Coment.
7
a
 Questão
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as
escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes?
Manuais.
Procedimentos.
Normas.
Diretrizes.
Relatório Estratégico.
Respondido em 22/05/2020 16:16:32
Gabarito
Coment.
8
a
 Questão
O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a ges-
tão de segurança de informação em uma empresa.A norma deve ser aplicada a todos os tipos de organizações seja,
por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos. A
norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada
organização.
Essa descrição está relacionada com qual norma?
NBR ISO/IEC 7002
NBR ISO/IEC 28002
NBR ISO/IEC 27052
NBR ISO/IEC 27002
NBR ISO/IEC 27012
Respondido em 22/05/2020 16:21:45
Explicação:
NBR ISO/IEC 27002
1
a
 Questão
Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC27001, a equipe de
técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de:
Definir e medir a eficácia dos controles ou grupos de controle selecionados.
Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes
Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e
melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização.
Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
Respondido em 25/05/2020 10:59:06
2
a
 Questão
A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia,
oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a reali-
zação desta análise:
Os resultados das auditorias anteriores e análises críticas
A avaliação dos riscos e incidentes desejados
Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores
A avaliação das ações preventivas e corretivas
A realimentação por parte dos envolvidos no SGSI
Respondido em 25/05/2020 11:01:34
Gabarito
Coment.
3
a
 Questão
A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos
envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que
promove uma melhora nos processos da organização e uma solução eficiente para os problemas.
Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa:
Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa
deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
Esta etapa implementa através de programas de conscientização e treinamento para os funcionários em rela-
ção as operações e recursos do SGSI.
Nesta etapa são colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas an-
teriores.
Nenhuma das opções anteriores.
É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas
de segurança estabelecidos.
Respondido em 25/05/2020 11:05:11
Explicação:
A primeira etapa do PDCA é o Plan (planejamento), que estabelece uma política, metas e processos de um sistema de gestão da segurança
da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
4
a
 Questão
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organiza-
ções. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu
sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo:
I-A norma ISO/IEC 27001 aborda a política de segurança da informação que é uma declaração da empresa em rela-
ção ao seu compromisso com a proteção dos ativo da informação
II-inclui a estruturação necessária para definir objetivos e estabelecer a orientação global e os princípios para ativida-
des que envolvam a segurança da informação.
III-Identifica as obrigações dos contratos de segurança, regulamentações e os requisitos da organização;
Assinale apenas a opção que contenha afirmações corretas:
Apenas II
Apenas I e II
Apenas II e III
I, II e III
Apenas I
Respondido em 25/05/2020 11:07:19
Explicação:
Todas estão corretas
5
a
 Questão
Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo
que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações
tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um ní-
vel aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE
GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir:
Identificar, Analisar e avaliar os riscos.
A abordagem de análise/avaliação das vulnerabilidades da organização.
Identificar e avaliar as opções para o tratamento das vulnerabilidades.
A política do BIA.
A politica de gestão de continuidade de negócio.
Respondido em 25/05/2020 11:08:49
6
a
 Questão
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é
apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informa-
ção. Sobre essa norma analise as afirmativas abaixo:
I-Estabelece os limites e critérios para definir quais os riscos que serão avaliados;
II-A norma ISO/IEC 27001 é certificadora, o que significa que é utilizada por institutos credenciados em diversos países.
III-A norma NBR ISO/IEC 27001 também apresenta como objetivo especificar os requisitos de um Sistema de Gestão de Segurança da Infor-
mação (SGSI), que é baseado nos riscos da organização.
Assinale a opção que contenha apenas afirmações corretas:
I, II e III
Apenas II
Apenas I
Apenas I e III
Apenas III
Respondido em 25/05/2020 11:10:57
Explicação:
Todas são verdadeiras
7
a
 Questão
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:
implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior
porte reconhecidas no mercado.
implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança re-
conhecidas no mercado
implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Geren-
tes de TI.
implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI.
implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e pa-
drões comerciais.
Respondido em 25/05/2020 11:12:53
8
a
 Questão
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de se-
gurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
Corretivas e Correção.
Prevenção e Preventivas.
Corretivas e Corrigidas.
Corretivas e Preventivas.
Corrigidas e Preventivas.
1
a
 Questão
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é
necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida:
A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos.
A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos.
A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efei-
tos.
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
Respondido em 25/05/2020 11:56:26
2
a
 Questão
Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que:
As metas e objetivos dos clientes sejam comprometidos por interrupçõesinesperadas
As metas e objetivos definidos sejam comprometidos por interrupções inesperadas
As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas
As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas
As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas
Respondido em 25/05/2020 11:57:44
3
a
 Questão
A norma NBR ISO/IEC 22313 também adota o ciclo PDCA a fim de utilizar essa ferramenta para planejar, implementar, analisar e melhor a
eficiência do sistema de gestão de continuidade do negócio.
"Ocorre o planejamento e o estabelecimento de uma política de continuidade de negócios, por meio da definição dos objetivos, metas, con-
troles, processos e procedimentos importantes para a melhoria da continuidade de negócios a fim de obter resultados alinhados com os obje-
tivos e políticas gerais da organização."
Essa descrição é sobre qual etapa do ciclo PDCA?
Check
Plan
Act
DO
Nenhuma das opções anteriores
Respondido em 25/05/2020 11:58:25
Explicação:
etapa do planejamento
4
a
 Questão
A gestão de continuidade de negócios (GCN) faz parte de um processo que possibilita que uma organização lide com os incidentes de inter-
rupção que poderiam impedi-la de atingir seus objetivos. Sobre a GCN analise as afirmativas abaixo:
I-A continuidade de negócios pode ser descrita pela capacidade de continuar a entregar seus produtos e serviços em níveis aceitáveis após a
ocorrência de um incidente de interrupção.
II-Através da integração da gestão de continuidade de negócios (GCN) e de uma estrutura sistêmica de gestão da organização é que criamos
um Sistema de Gestão de Continuidade de Negócios (SGCN).
III-O SGCN pode ser aplicado apenas em empresas de porte grande.
Assinale a opção que contenha apenas afirmações verdadeiras:
Apenas III
Apenas I
I, II e III
Apenas I e III
Apenas I e II
Respondido em 25/05/2020 12:00:27
Explicação:
O SGCN pode ser aplicado em empresas de porte grande, médio e pequeno e que operem em setores industrial, comercial, público e sem
fins lucrativos.
5
a
 Questão
Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem imple-
mentar para a identificação das atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração
do plano de continuidade ?
Auditoria interna
Análise de vulnerabilidade
Análise de risco
Análise de impacto dos negócios (BIA)
Classificação da informação
Respondido em 25/05/2020 12:04:47
Gabarito
Coment.
6
a
 Questão
Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está
em conformidade com as orientações da norma citada?
Tomar controle da situação
Confirmar a natureza e extensão do incidente
Afastar o incidente do cliente
Comunicar-se com as partes interessadas
Controlar o incidente
Respondido em 25/05/2020 12:06:09
Gabarito
Coment.
7
a
 Questão
Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de
incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um inci-
dente para manter ou restaurar as operações.
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento:
Entendendo a organização.
Determinando a estratégia de continuidade de negócios.
Incluindo a GCN na cultura da organização.
Testando, mantendo e analisando criticamente os preparativos de GCN.
Desenvolvendo e implementando uma resposta de GCN.
Respondido em 25/05/2020 12:09:01
Gabarito
Coment.
8
a
 Questão
De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de continuidade do negócio (GCN).
GCN é uma abordagem alternativa à gestão de riscos de segurança da informação.
A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de interrupção das atividades críticas
da organização.
GCN é a fase inicial da implantação da gestão de continuidade em uma organização.
A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou) atividades críticas e recursos
de suporte de uma organização.
A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a incidentes, de continuidade e de
comunicação.
Respondido em 25/05/2020 12:09:47
Gabarito
Coment.
1
a
 Questão
Analise as seguintes afirmações relacionadas à Segurança da Informação e os objetivos do controle de acesso:
I. A disponibilidade é uma forma de controle de acesso que permite identificar os usuários legítimos da informação para que lhes possa ser
liberado o acesso, quando solicitado.
II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham acesso à informação para criá-la,
destruí-la ou alterá-la indevidamente.
III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que inspeciona uma rede de
dentro para fora, identifica e avalia padrões suspeitos que podem identificar um ataque à rede e emite um alarme quando existe a suspeita
de uma invasão. IV. A integridade é uma forma de controle de acesso que evita o acesso de pessoas não autorizadas a informações confiden-
ciais, salvaguardando segredos de negócios e protegendo a privacidade de dados pessoais.
Indique a opção que contenha todas as afirmações verdadeiras.
II e III.
III e IV.
I e III.
I e II.
II e IV.
Respondido em 25/05/2020 12:50:55
Gabarito
Coment.
2
a
 Questão
Considerando que um usuário deseje enviar um e-mail criptografado, assinale a alternativa que apresenta a chave do destinatário que esse
usuário deverá conhecer para realizar corretamente a criptografia.
Chave criptografada privada
Chave certificada
Chave pública
Chave criptografada pública
Chave privada
Respondido em 25/05/2020 12:52:19
3
a
 Questão
São exemplos de ativos associados a sistemas (pertinentes para a identificação de ameaças), exceto:
Pessoas
Softwares
Informação
Serviços
Hardware
Respondido em 25/05/2020 12:54:34
4
a
 Questão
Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor Internet para que os clien-
tes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual tipo de rede você localizaria este servidor considerando
que você irá utilizar o conceito de perímetro de segurança?
ligado diretamente no roteador de borda
na Zona Desmilitarizada (DMZ) suja
na rede interna da organização
em uma subrede interna protegida por um proxy
na Zona Desmilitarizada (DMZ) protegida
Respondido em 25/05/2020 12:59:55
5
a
 Questão
Dentre as vantagens de utilização de normas, podemos destacar as seguintes, EXCETO:
Criação de vantagens competitivas
Compartilhamento de informações com os stakeholders
Desenvolvimento e manutenção das melhores práticas
Atrair e manter clientes
Demonstração de liderança de mercado
Respondido em 25/05/2020 13:00:39
6
a
 Questão
Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede de computadores de
uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e a internet e impedir a transmissão e/ou recepção de aces-
sos nocivos ou não autorizados.
Mailing.
Firewall.
Antivírus.
Adware.
Spyware.
Respondido em 25/05/2020 13:01:44
7
a
 Questão
Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus componentes ?
Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de proteção
Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou não confiável.
Redes Não Confiáveis - Não possuem políticas de segurança.
Redes Não Confiáveis - Não é possível informar senecessitam de proteção.
Redes Não Confiáveis - Não possuem controle da administração.
Respondido em 25/05/2020 13:02:48
1a
Questão
Acerto: 1,0 / 1,0
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não pode ser con-
siderada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações?
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros;
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia;
Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos;
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos;
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais;
Respondido em 20/05/2020 13:52:37
2a
Questão
Acerto: 1,0 / 1,0
As ameaças são os principais perigos a que uma empresa está́ susceptível. Essas ameaças podem ser classificadas
em:
Ameaças intencionais
Ameaças relacionadas aos equipamentos
Ameaças relativas a um evento natural
Ameaças não intencionais
Em relação as ameaças não internacionais, podemos afirmar:
Nenhuma das opções acima
Quando um equipamento apresenta falhas de hardware ou mesmo de software, seja por defeito ou mesmo por
bugs. Colaboradores especializados podem induzir falhas aos sistemas por eles administrados.
São as ameaças divulgadas pela mídia e nas quais os produtos de segurança podem atuar melhor. Podem ser
do tipo agentes internos ou externos. Em que agentes externos podem ter acesso ao sistema de várias formas.
Apesar do foco dos dispositivos de segurança normalmente ser o agente do tipo externo, a maior parte dos
problemas de segurança é provocada por agentes do tipo internos.
Esse grupo de ameaças incluem todos os equipamentos ou instalações físicas de uma empresa, que podem es-
tar sujeitos a fogo, inundações, quedas de energia. É possível minimizar as chances de que o dano seja severo
e também fazer um planejamento para a recuperação após a ocorrência de um desastre de ordem natural.
são os perigos trazidos pela falta de conhecimento. Por exemplo, um usuário ou administrador de sistema que
não tenha recebido treinamento adequado, que não tenha lido a documentação, ou que não tenha entendido a
importância do cumprimento das regras de segurança estabelecidas pela organização. A maior parte dos danos
causados no sistema surge pela ignorância de usuários ou administradores e não por ações maliciosas.
Respondido em 20/05/2020 14:00:50
3a
Questão
Acerto: 0,0 / 1,0
Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou
não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os
itens a seguir.
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por
vírus, cavalos de troia, negação de serviço entre outros.
II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação.
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos.
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento.
Representam vulnerabilidades dos ativos de informação o que consta em:
I, II, III e IV.
I e III, somente.
I, II e IV, somente.
I, III e IV, somente.
II e III, somente.
Respondido em 20/05/2020 14:02:46
Gabarito
Coment.
4a
Questão
Acerto: 0,0 / 1,0
Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware?
Captura de senhas bancárias e números de cartões de crédito;
Alteração da página inicial apresentada no browser do usuário;
Alteração ou destruição de arquivos;
Monitoramento de URLs acessadas enquanto o usuário navega na Internet
Captura de outras senhas usadas em sites de comércio eletrônico;
Respondido em 20/05/2020 14:04:51
5a
Acerto: 0,0 / 1,0
Questão
Pedro construiu uma página igual a página de uma grande empresa de comércio eletrônico com o objetivo de capturar as in-
formações de usuário e senha e número do cartão de crédito de usuários desavisados. Para obter sucesso enviou mensagem
não solicitada com o intuito de induzir o acesso a esta página fraudulenta. Neste caso podemos afirmar que Pedro pratica
um ataque de:
Buffer Overflow
Força bruta
Phishing scan
IP Spoofing
SYN Flooding
Respondido em 20/05/2020 14:06:34
6a
Questão
Acerto: 1,0 / 1,0
Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de incidentes se-
quencialmente ?
Impacto, ameaça, incidente e recuperação
Incidente, impacto, ameaça e recuperação
Incidente, recuperação, impacto e ameaça
Ameaça, incidente, impacto e recuperação
Ameaça, impacto, incidente e recuperação
Respondido em 20/05/2020 14:12:36
Gabarito
Coment.
7a
Questão
Acerto: 0,0 / 1,0
A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como objetivo apre-
sentar recomendações para:
Resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e exe-
cutando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação.
Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou de-
sastres significativos e assegurar a sua retomada em tempo hábil, se for o caso
Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer
requisitos de segurança da informação.
Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam co-
municados, permitindo a tomada de ação corretiva em tempo hábil
Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detec-
tar e resolver incidentes de segurança da informação em tempo hábil
Respondido em 20/05/2020 14:14:42
8a
Questão
Acerto: 0,0 / 1,0
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem
ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma
ISO/IEC 27001 em qualquer organização:
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informa-
ção.
Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e
Melhoria do SGSI
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI
Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco.
Respondido em 20/05/2020 14:18:34
Gabarito
Coment.
9a
Questão
Acerto: 0,0 / 1,0
Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre?
Uma catástrofe de grandes impactos.
Um ataque massivo pela internet.
Um evento que causa uma parada nos processos da organização por um período de tempo maior do que ela conside-
ra aceitável.
Um evento súbito, que ocorre de maneira inesperada.
Eventos de ordem natural ou acidental, como terremotos e incêndios.
Respondido em 20/05/2020 14:21:37
Gabarito
Coment.
1a
Questão
Acerto: 1,0 / 1,0
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da in-
formação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de "Informação"?
Pode habilitar a empresa a alcançar seus objetivos estratégicos;
É dado trabalhado, que permite ao executivo tomar decisões;
Possui valor e deve ser protegida;
Por si só não conduz a uma compreensão de determinado fato ou situação;
É a matéria-prima para o processo administrativoda tomada de decisão;
Respondido em 25/05/2020 16:43:40
2a
Questão
Acerto: 0,0 / 1,0
As ameaças são os principais perigos a que uma empresa está́ susceptível. Essas ameaças podem ser classificadas em:
Ameaças intencionais
Ameaças relacionadas aos equipamentos
Ameaças relativas a um evento natural
Ameaças não intencionais
Em relação as ameças relacionadas aos equipamentos, podemos afirmar:
Quando um equipamento apresenta falhas de hardware ou mesmo de software, seja por defeito ou mesmo por bugs.
Colaboradores especializados podem induzir falhas aos sistemas por eles administrados.
Nenhuma das opções abaixo
esse grupo de ameaças incluem todos os equipamentos ou instalações físicas de uma empresa, que podem estar su-
jeitos a fogo, inundações, quedas de energia. É possível minimizar as chances de que o dano seja severo e também
fazer um planejamento para a recuperação após a ocorrência de um desastre de ordem natural.
São as ameaças divulgadas pela mídia e nas quais os produtos de segurança podem atuar melhor. Podem ser do tipo
agentes internos ou externos. Em que agentes externos podem ter acesso ao sistema de várias formas. Apesar do
foco dos dispositivos de segurança normalmente ser o agente do tipo externo, a maior parte dos problemas de segu-
rança é provocada por agentes do tipo internos.
São os perigos trazidos pela falta de conhecimento. Por exemplo, um usuário ou administrador de sistema que não
tenha recebido treinamento adequado, que não tenha lido a documentação, ou que não tenha entendido a importân-
cia do cumprimento das regras de segurança estabelecidas pela organização. A maior parte dos danos causados no
sistema surge pela ignorância de usuários ou administradores e não por ações maliciosas.
Respondido em 25/05/2020 16:42:44
3a
Questão
Acerto: 1,0 / 1,0
A empresa de segurança cibernética IntelCrawler descobriu no dia 17 de janeiro de 2014 ao menos seis ataques em anda-
mento contra varejistas nos Estados Unidos cujos sistemas de cartão de crédito estão infectados com o mesmo tipo de soft-
ware malicioso usado para roubar dados de cerca de 40 milhões de cartões de crédito da rede Target. O software malicioso
que foi usado para tal feito foi o BlackPOS. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso?
Vulnerabilidade Física.
Vulnerabilidade Software.
Vulnerabilidade de Comunicação.
Vulnerabilidade Natural.
Vulnerabilidade de Mídias.
Respondido em 25/05/2020 16:51:35
Gabarito
Coment.
4a
Questão
Acerto: 1,0 / 1,0
As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classi-
ficadas como:
Voluntárias
Insconsequentes
Globalizadas
Destrutivas
Tecnológicas.
Respondido em 25/05/2020 17:12:49
Gabarito
Coment.
5a
Questão
Acerto: 1,0 / 1,0
Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será necessário levantar
quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu objetivo o invasor tentará levantar es-
tas informações através da escuta das portas do protocolo TCP e UDP. Neste caso estamos nos referindo a um ataque do ti-
po:
Port Scanning
Fraggle
SYN Flooding
Three-way-handshake
Fragmentação de Pacotes IP
Respondido em 25/05/2020 17:19:28
6a
Questão
Acerto: 1,0 / 1,0
Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da Informação:
Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos
Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes.
Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos
Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos
Tudo aquilo que tem origem para causar algum tipo de erro nos ativos
Respondido em 25/05/2020 17:22:00
7a
Questão
Acerto: 1,0 / 1,0
Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o
documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes
documentos?
Manuais; Normas e Procedimentos
Diretrizes; Normas e Procedimentos
Diretrizes; Manuais e Procedimentos
Manuais; Normas e Relatórios
Diretrizes; Normas e Relatórios
Respondido em 25/05/2020 17:28:04
8a
Questão
Acerto: 1,0 / 1,0
A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos
envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que
promove uma melhora nos processos da organização e uma solução eficiente para os problemas.
Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa:
Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa
deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
Nesta etapa são colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas an-
teriores.
É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas
de segurança estabelecidos.
Esta etapa implementa através de programas de conscientização e treinamento para os funcionários em rela-
ção as operações e recursos do SGSI.
Nenhuma das opções anteriores.
Respondido em 25/05/2020 17:30:40
9a
Questão
Acerto: 1,0 / 1,0
Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização
para garantir que:
As metas e objetivos definidos sejam comprometidos por interrupções inesperadas
As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas
As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas
As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas
As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas
Respondido em 25/05/2020 17:32:24