1º simulado Introdução a segurança da informação

Prévia do material em texto

Acerto: 1,0 / 1,0 
1ª Questão - Assinale a assertiva que representa um dos benefícios para a adoção da norma ABNT NBR ISO/IEC 
27001:2013 por uma organização 
 
Isola recursos com outros sistemas de gerenciamento 
 
Fornece insegurança a todas as partes interessadas 
 
Mecanismo para eliminar o sucesso do sistema 
 Oportunidade de identificar eliminar fraquezas 
 
Não participação da gerência na Segurança da Informação 
 Acerto: 1,0 / 1,0 
2ª Questão - Medidas adotadas relacionadas à senha na BIOS são consideradas como medidas de: 
 Segurança Física 
 
Segurança Virtual 
 
Segurança da informação 
 
Segurança Cibernética 
 
Segurança Lógica 
Explicação:Como pode ser observado no Módulo 2 do Tema 1, às medidas baseada em hardware, como 
a BIOS, são consideradas Segurança Física. 
 
 Acerto: 1,0 / 1,0 
3ª Questão - A alteração dos dados por pessoa/software/processo não autorizado em um data center, por 
exemplo, pode ser considerada uma ameaça da: 
 
Autenticidade 
 
Confidencialidade 
 Integridade 
 
Disponibilidade 
 Lealdade 
Explicação:Como pode ser observado no Módulo 1 do Tema 2 a alteração dos dados por 
pessoa/software/processo é um aspecto de ameaça ligado 
 
 Acerto: 1,0 / 1,0 
4ª Questão - Um funcionário estava passando na sala de equipamentos de computação quando esbarrou em um 
servidor web que estava posicionado no canto de uma mesa e o derrubou no chão, parando a operação do mesmo. 
Segundo a norma ABNT NBR ISO/IEC 27002:2013, o responsável pela segurança do servidor deixou de 
colocar em prática o controle relacionado à 
 
Segregação de funções 
 
Acordo de confidencialidade 
 
Gerenciamento de senha de usuário 
 Localização e proteção do equipamento 
 
Inventário dos ativos 
 Acerto: 1,0 / 1,0 
5ª Questão - A norma ISO/IEC 27001, em conjunto com a norma ISO/IEC 27002 (Código de Boas Práticas da 
Gestão da Segurança da Informação), formam as principais referências, atualmente, para quem procura tratar 
a questão da segurança da informação de maneira eficiente e com eficácia. Qual das alternativas 
abaixo corresponde à abordagem ISO/IEC 27001 ? 
 
Um produto ou tecnologia dirigida. 
 
Um padrão técnico. 
 Um serviço desenvolvido pelos governos para as empresas. 
 Uma metodologia de avaliação de equipamentos. 
 Um grupo detalhado de controles compreendidos das melhores práticas da segurança da informação. 
 Acerto: 1,0 / 1,0 
6ª Questão - Uma forma de se proteger em relação aos vírus é através do uso de programas antivírus que 
procuram por padrões para detectar e eliminá-los. Cada vírus tem uma estratégia para tentar evitar sua 
identificação. Selecione a opção que apresenta o vírus que faz o antivírus acreditar que o programa mal-
intencionado está em outro lugar que não seja a sua localização real. 
 
Vírus blindado. 
 
Vírus stealth. 
 
Polimórfico. 
 
Mutante. 
 
Cavalo de Troia. 
 Acerto: 1,0 / 1,0 
7ª Questão - Um ataque de negação de serviço tenta afetar a disponibilidade de um ativo inundando, por exemplo, um 
servidor de aplicação em rede com mais dados do que é capaz de processar por unidade de tempo. Se, dentro do domínio 
do servidor, existir uma ferramenta que reaja a um ataque de negação de serviço, ela será classificada como uma medida 
de controle: 
 
Detectora 
 
Preventiva 
 
Recuperadora 
 
Limitadora 
 Reativa 
 Acerto: 1,0 / 1,0 
8ª Questão -¿A informação em conjunto com recursos tecnológicos é uma necessidade para o 
funcionamento tático, estratégico e operacional de qualquer empresa. Para vencer no mundo dos 
negócios, é preciso saber obter a informação como ferramenta estratégica de competitividade. 
Precisamos saber onde encontrar a informação, como apresentá-la e como usá-la, assim como é 
fundamental conhecê-la. Precisamos estar sempre atentos ao que acontece fora e dentro das 
organizações.¿ (Trecho consultado em 02/10/20, extraído de 
< https://administradores.com.br/producao-academica/a-importancia-da-informacao>) 
O trecho acima reflete parte da relevância da informação no contexto organizacional. Mas 
sabemos que usualmente há equívoco na definição dos conceitos de Dados, Informação e 
Conhecimento. Diante do exposto, assinale a alternativa que os elucida corretamente. 
 
 Dado é um fato bruto não lapidado; II. Informação é a junção de dados que foram contextualizados; III. 
Conhecimento é pessoal, isto é, depende da interpretação das informações juntamente com as 
vivências/experiências pessoais. 
 
Dado depende da interpretação pessoal aliada às vivências de cada indivíduo; II. Informação é a junção 
de dados que foram contextualizados; III. Conhecimento é a junção de informações não lapidadas. 
 Dado é formado por um conjunto de informações contextualizadas; II. Informação é um fato bruto não 
lapidado; III. Conhecimento é pessoal, isto é, depende da interpretação das informações juntamente com 
as vivências/experiências pessoais. 
 Dado é um fato bruto não lapidado; II. Informação depende da interpretação pessoal de cada indivíduo 
sobre dados agrupados; III. Conhecimento é representado pelo agrupamento dos dados. 
 Dado é um fato bruto não lapidado; II. Informação depende da interpretação pessoal de cada indivíduo; 
III. Conhecimento é a junção de dados que foram contextualizados. 
 
Explicação:O dado pode ser considerado o valor de determinada medida sem uma contextualização e, portanto, sem 
valor para ser aplicado ou tratado. No momento em que um dado é contextualizado, ou seja, é atribuído a um 
contexto ou a uma situação, torna-se uma informação, consequentemente obtendo valor. 
Ou seja, a informação, que é o dado contextualizado, precisa de proteção em todo o seu ciclo de vida. 
Conhecimento é pessoal, isto é, depende da interpretação das informações juntamente com as vivências/experiências 
pessoais. 
 
 Acerto: 1,0 / 1,0 
9ª Questão - O Plano de Continuidade de Negócios (PCN), determinado pela norma ABNT NBR 15999 
Parte 1, visa contemplar importantes aspectos, dentre os quais observamos subsequentemente: 
I. O Plano de Continuidade de Negócios (PCN) descreve como a empresa deve atuar diante da 
identificação das ameaças e dos impactos nas operações a fim de garantir a preservação do negócio. 
II. O Plano de Continuidade de Negócios (PCN) visa maximizar os problemas advindos das interrupções 
nas atividades de negócios e proteger os processos críticos dos defeitos de grandes falhas ou desastres. 
III. O Plano de Continuidade de Negócios (PCN) tem como objetivo estabelecer as diretrizes e as 
responsabilidades a serem observadas no Sistema de Gestão de Continuidade de Negócios. 
IV. O Plano de Continuidade de Negócios (PCN) visa especificar as ameaças e riscos identificados na 
organização e analisar os impactos no negócio, caso eles se concretizem. 
Após a leitura, analise as asserções acima e, a seguir, assinale a alternativa correta: 
 
Somente as asserções I, II e III estão corretas; 
 Somente as asserções II e IV estão corretas; 
 
Somente as asserções III e IV estão corretas. 
 
Somente as asserções I, II e IV estão corretas; 
 Somente as asserções I, III e IV estão corretas 
 
Explicação: O Plano de Continuidade de Negócios (PCN) é o processo de gestão da capacidade de 
uma organização de conseguir manter um nível de funcionamento adequado até o retorno à 
situação normal, após a ocorrência de incidentes e interrupções de negócios críticos. O PCN deve 
ser desenvolvido preventivamente a partir de um conjunto de estratégias e planos táticos capazes 
de permitir o planejamento e a garantia dos serviços essenciais, devidamente identificados e 
preservados. Este processo orienta e define como e quais ações devem ser executadas para que 
se construa uma resiliência organizacional1 capaz de responder efetivamente e salvaguardar os 
negócios. 
O PCN tem como objetivo especificar as ameaças e riscos identificados na organização e analisar 
os impactos no negócio, caso essas ameaças se concretizem. Visa com isso tornar possívelseu 
funcionamento em um nível aceitável nas situações de contingência2, resguardando os interesses 
dos intervenientes, a reputação, a imagem da organização e suas atividades fim de significativo 
valor agregado. 
 
 Acerto: 1,0 / 1,0 
10ª Questão - Em relação à biblioteca ITIL (Information Technology Infrastructure 
Library), selecione a opção correta: 
 
 
Junto com o plano de recuperação de desastres, tem um papel reativo quando ocorrem problemas. 
 
Não pode ser aplicada em nenhum aspecto do plano de continuidade dos negócios. 
 Concentra-se no alinhamento de serviços de TI com as necessidades dos negócios 
 
Aborda todas as necessidades dos negócios da empresa. 
 
É aplicada apenas no plano de continuidade dos negócios.