Gestão da Segurança da Informação

Prévia do material em texto

1) Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos dizer que:
A. A afirmativa é verdadeira somente para ameaças identificadas.
B. A afirmativa é verdadeira somente para vulnerabilidades lógicas.
C. A afirmativa é falsa.
D. A afirmativa é verdadeira somente para vulnerabilidades físicas.
E. A afirmativa é verdadeira.
1) Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como a tecnologia da informação tem apóiado as operações das empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de ¿Informação¿ ?
A. Deve ser disponibilizada sempre que solicitada.
B. Pode conter aspectos estratégicos para a Organização que o gerou.
C. A informação é vital para o processo de tomada de decisão de qualquer corporação.
D. É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la.
E. É fundamental proteger o conhecimento gerado.
2) De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de segurança¿, podemos dizer que:
A. A afirmação é falsa.
B. A afirmação é verdadeira.
C. A afirmação é somente falsa para as empresas privadas.
D. A afirmação é somente verdadeira para as empresas privadas.
E. A afirmação será somente verdadeira se as empresas forem de um mesmo mercado.
2) Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de ¿Ativo de Informação¿?
A. São aqueles tratam, administram, isolam ou armazenam informações.
B. São aqueles que constroem, dão acesso, transmitem ou armazenam informações.
C. São aqueles que produzem, processam, reúnem ou expõem informações.
D. São aqueles que organizam, processam, publicam ou destroem informações.
E. São aqueles que produzem, processam, transmitem ou armazenam informações.
2) VULNERABILIDADE DE SEGURANÇA O ciclo de vida da informação Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que está dialogando com seu banco e não com alguém que se faz passar por ele? Neste caso estamos falando de:
A. Não-repúdio
B. Confidencialidade
C. Disponibilidade
D. Legalidade
E. Autenticação
2) A assinatura digital permite comprovar a autenticidade e ______________ de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada.
A. a legalidade
B. a integridade
C. a disponibilidade
D. a confidencialidade
E. o não-repúdio
2) As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação?
A. Fragilidade presente ou associada a ativos que manipulam ou processam informações .
B. Impacto presente ou associada a ativos que manipulam ou processam informações.
C. Fragilidade presente ou associada a ameaças que manipulam ou processam informações .
D. Ameaça presente ou associada a ativos que manipulam ou processam informações.
E. Fragilidade presente ou associada a ativos que exploram ou processam informações .
2) Ao elaborar e comunicar uma Política de Segurança da Informação é necessário:
I. Usar uma linguagem conhecida.
II. Usar meios adequados aos tipos de mensagens e usuários.
III. Adotar estilo simples e claro.
IV. Respeitar o interlocutor sem superestimá-lo nem subestimá-lo.
V. Respeitar a cultura organizacional e a do país a que se destina.
A. As alternativas I, II, IV e V estão corretas, mas a III está errada porque uma política deve ser construída considerando-se uma linguagem tecnológica independentemente dos tipos de usuários a que se destina.
B. As alternativas I, III, IV e V estão corretas, mas a II está errada pois este é um item irrelevante no contexto da política de segurança.
C. As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam.
D. As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única, mesmo para uma multinacional, e as características humanas e legais do país na qual é aplicada não podem interferir na sua tradução.
E. As alternativas I, II, III e V estão corretas, mas a IV está errada porque deve supor-se que todos os usuários foram selecionados pela empresa, portanto entendem a tecnologia usada.
	
	
2) Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade¿. Esta afirmação é:
A. falsa, pois não existe alteração de nível de segurança de informação.
B. verdadeira desde que seja considerada que todas as informações são publicas.
C. verdadeira se considerarmos que o nível não deve ser mudado.
D. falsa, pois a informação não deve ser avaliada pela sua disponibilidade.
E. verdadeira, pois a classificação da informação pode ser sempre reavaliada.
3) Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque?
A. Vulnerabilidade Física
B. Vulnerabilidade de Comunicação
C. Vulnerabilidade Natural
D. Vulnerabilidade Mídia
E. Vulnerabilidade de Software
	
3) Em relação às vulnerabilidades de protocolos e aplicações de acesso remotos, assinale a afirmativa correta:
A. Utilizando ferramentas específicas, é possível explorar a possibilidade de enviar mensagens anônimas a partir do IRC, gerando uma espécie de spoofing de mensagens, se o endereço IP e a porta IRC da vítima forem conhecidos.
B. É aconselhável colocar servidores de Terminal (Terminal Servers) fora da DMZ (De-Militarized Zone) para proteger a rede interna da organização.
C. Bots são softwares maliciosos e autônomos que se conectam por meio de um componente ICQ. Normalmente, o software usado para gerenciamento destes canais é modifi cado de forma que sirvam a mais bots e que não revelem a quantidade de bots associados.
D. O Telnet é um padrão para acesso a terminais na Internet, que provê segurança por meio da autenticação de usuários, além de manter uma conexão com tráfego criptografado.
E. Kerberos e SSH (Secure Shell) são soluções para autenticação remota com uso de criptografia, eliminando os problemas de soluções tais como o Telnet.
3) Relacione a primeira coluna com a segunda:
A. Área de armazenamento sem proteção 1. ativo
B. Estações de trabalho 2. vulnerabilidade
C. Falha de segurança em um software 3. ameaça
D. Perda de vantagem competitiva 4. impacto
E. Roubo de informações 5. medida de segurança
F. Perda de negócios
G. Não é executado o "logout" ao término do uso dos sistemas
H. Perda de mercado
I. Implementar travamento automático da estação após período de tempo sem uso
J. Servidores
K. Vazamento de informação
A. A2, B1, C3, D3, E4, F4, G2, H4, I5, J1, K3.
B. A2, B1, C3, D3, E3, F4, G2, H4, I5, J1, K4.
C. A2, B1, C2, D4, E3, F4, G2, H4, I5, J1, K3.
D. A2, B1, C2, D4, E4, F4, G2, H4, I5, J1, K3.
E. A2, B1, C2, D3, E3, F3, G2, H4, I5, J1, K4.
3) Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque DDoS e foi descrito como o maior já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕESde blogs, incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre eles, estão inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcançou vários Gigabits por segundo e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do Wordpress, a investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. Qual você acha que foi a vulnerabilidade para este ataque?
A. Vulnerabilidade Software
B. Vulnerabilidade Mídias
C. Vulnerabilidade Comunicação
D. Vulnerabilidade Natural
E. Vulnerabilidade Física
3) As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física:
A. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
B. Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários.
C. Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
D. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
E. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
 	
3) O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação?
A. Dependência
B. Problema
C. Ameaça
D. Vulnerabilidade
E. Risco
 	
3) Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.
A. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.
B. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos.
C. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança.
D. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido.
E. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana.
4) Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware?
A. Captura de senhas bancárias e números de cartões de crédito;
B. Captura de outras senhas usadas em sites de comércio eletrônico;
C. Monitoramento de URLs acessadas enquanto o usuário navega na Internet
D. Alteração ou destruição de arquivos;
E. Alteração da página inicial apresentada no browser do usuário;
4) Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias:
A. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações.
B. Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc.
C. Erros propositais de instalação ou de configuração possibilitando acessos indevidos.
D. Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc.
E. Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões.
4) As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade?
A. Naturais, Voluntarias e Vulneráveis.
B. Naturais, Involuntárias e Voluntarias.
C. Naturais, Involuntárias e Obrigatórias.
D. Ocasionais, Involuntárias e Obrigatórias.
E. Naturais, Voluntarias e Obrigatórias.
5) Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: O ataque explora a metodologia de estabelecimento de conexões do protocoloTCP, baseado no three-way-handshake. Desta forma um grande número de requisições de conexão (pacotes SYN) é enviando, de tal maneira que o servidor não seja capaz de responder a todas elas. A pilha de memória sofre então um overflow e as requisições de conexões de usuários legítimos são, desta forma, desprezadas, prejudicando a disponibilidade do sistema.. Qual seria este ataque:
A. Syn Flooding.
B. Port Scanning.
C. Ip Spoofing.
D. Packet Sniffing.
E. Fraggle.
5) Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir posteriormente o acesso à máquina invadida para o atacante ?
A. Rootkit
B. Backdoor
C. Spam
D. Worm
E. 0Day
5) A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de:
A. Fragmentação de pacotes IP
B. Buffer Overflow
C. Fraggle
D. SQL injection
E. Smurf
5) Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente segue para realizar um Ataque de Segurança :
A. Levantamento, Exploração, Obtenção, Manutenção e Camuflagem
B. Obtenção, Exploração, Levantamento, Manutenção e Camuflagem
C. Levantamento, Obtenção, Exploração, Manutenção e Camuflagem
D. Obtenção, Levantamento, Exploração, Manutenção e Camuflagem
E. Exploração, Levantamento, Obtenção, Manutenção e Camuflagem
5) Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP , que foi mascarado pelo atacante.
A. Shrink Wrap Code
B. Dumpster Diving ou Trashing
C. Fraggle
D. Smurf
E. Phishing Scan
5) Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções abaixo Não representa um destes tipos de ataques?
A. Ataque à Aplicação
B. Ataque aos Sistemas Operacionais
C. Ataque de Configuração mal feita
D. Ataques Genéricos
E. Ataque para Obtenção de Informações
6) Qual o nome da técnica/ataque ou maneira de identificar trafego de dados que "passam" em uma rede de computadores ?
A. Keylogger
B. Monitor
C. Spyware
D. Sniffer
E. DoS
 	
6) A segurança da informação deve ser vista como algo estratégico dentro da organização. E a organização deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da organização criar um plano de gestão voltado para riscos é criando um Plano de Gestão de Risco (PGI). O PGI é composto por 4 fases, quais são elas?
A. Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco
B. Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; Comunicação do impacto
C. Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco
D. Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; Mapeamento de impacto
E. Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco
6) Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormentecomo máquinas para destinar um ataque que seja o alvo do atacante ?
A. Phishing
B. Spammer
C. Bot/Botnet
D. Spyware
E. Rootkit
6) Vamos analisar cada item. E marque a alternativa correta.
A. RSS (Really Simple Syndication) é uma forma de Feed que possibilita ao usuário receber dados de diversas fontes, reunindo-os em único local;
B. O HTTP (hipertexto transfer protocol)? a ? é o protocolo utilizado pela WEB;
C. O antivírus é uma ferramenta que auxilia no combate às pragas eletrônicas
D. O FTP (file transfer protocol) é o protocolo para transferência de arquivos do conjunto TCP/IP. Não é o único capaz de transferir arquivos, mas este é especializado e possui vários comandos para navegação e transferência de arquivos;
E. O driver do HD possibilita a comunicação entre o HD e o computador/sistema operacional;
6) Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento do risco, exceto:
A. Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco.
B. Identificar os riscos de segurança presentes.
C. Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
D. Aplicar controles apropriados para reduzir os riscos.
E. Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de Banco de Dados, pretende instalar dispositivos de autenticação de acesso físico, que será implementado através de dispositivo biométrico. Neste caso que tipo de barreira você está implementando?
A. Detectar
B. Desencorajar
C. Deter
D. Dificultar
E. Discriminar
7) Para a implementação de uma regulamentação de monitoramento eletrônico, necessitamos atentar a alguns pontos, EXCETO:
A. Os colaboradores poderão utilizar a internet corporativa para atividades lícitas em seu horário de descanso.
B. Caso ocorra a divulgação de quaisquer informações confidenciais da empresa, estarão sujeitos às sanções cabíveis.
C. Ciência por parte dos colaboradores acerca dos sistemas de monitoramento implantados.
D. Colaboradores deverão estar cientes de que a empresa poderá a vir inspecionar todo o e qualquer arquivo trafegado na rede.
E. Os colaboradores estão cientes que podem copiar ferramentas disponibilizados pela empresa para uso externo.
7) Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.
A. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.
B. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
C. Os riscos residuais são conhecidos antes da comunicação do risco.
D. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
E. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
7) Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas.
1) Comitê de segurança da informação.
2) Controle.
3) Funções de software e hardware.
4) Deve ser analisado criticamente.
5) Política.
( ) Controle.
( ) Firewall.
( ) estrutura organizacional.
( ) Permissão de acesso a um servidor.
( ) Ampla divulgação das normas de segurança da informação.
A combinação correta entre as duas colunas é:
A. 1-2-4-3-5.
B. 4-3-5-2-1.
C. 2-3-1-5-4.
D. 5-1-4-3-2.
E. 4-3-1-2-5.
 	
7) De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve:
A. ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização.
B. revelar informações sensíveis da organização.
C. apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos.
D. conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção.
E. conter o registro dos incidentes de segurança da organização.
 	
7) Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma:
A. Análise/revisão sistemática dos ativos de segurança da informação
B. Análise/orientação sistemática dos cenários de segurança da informação
C. Análise/avaliação sistemática dos riscos de segurança da informação
D. Identificação/avaliação sistemática dos eventos de segurança da informação
E. Análise/avaliação sistemática dos incidentes de segurança da informação
7) Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais:
A. Análise de vulnerabilidades, requisitos legais e classificação da informação
B. Requisitos de negócio, Análise de risco, Requisitos legais
C. Análise de risco, análise do impacto de negócio (BIA), classificação da informação
D. Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais
E. Classificação da informação, requisitos de negócio e análise de risco
	
	
	
7) Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar:
A. Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações.
B. A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos.
C. Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
D. Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra.
E. Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência.
7) Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares?
A. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
B. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
C. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
D. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
E. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
7) A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como objetivo apresentar recomendações para:
A. Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.
B. Resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação.
C. Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso
D. Assegurar que fragilidades e eventos de segurança da informaçãoassociados aos sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil
E. Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil
	
	
7) A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança:
A. Segurança em Recursos Humanos.
B. Controle de Acesso.
C. Gerenciamento das Operações e Comunicações.
D. Segurança Física e do Ambiente.
E. Segurança dos Ativos.
7) A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio:
A. Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação.
B. A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos.
C. São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender.
D. Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização.
E. É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
7) A gestão da continuidade do negócio está associada, a não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos.
Analise:
I. Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio;
II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade;
III. Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação.
IV. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação;
Quanto aos controles relacionados à gestão da continuidade do negócio, marque a opção correta:
A. I, II e IV, somente
B. I, II e III, somente
C. II e IV, somente
D. I e III, somente
E. I e II, somente
	
	
7) Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos?
A. Diretrizes; Normas e Relatórios
B. Diretrizes; Normas e Procedimentos
C. Manuais; Normas e Relatórios
D. Diretrizes; Manuais e Procedimentos
E. Manuais; Normas e Procedimentos
7) Dada as assertivas, marque a opção correta: I- O risco tem duas dimensões: (i) probabilidade de ocorrência e (ii) impacto sobre o projeto. II- Dificilmente as chances de um risco ser totalmente eliminado é real. III- A gestão de riscos só visa o monitoramento para detecção de ameaças.
A. Apenas II e III corretas
B. Apenas III correta
C. Apenas I e II corretas
D. Apenas I correta
E. Apenas II correta
7) Marque a alternativa que NÃO representa uma alternativa a mitigação de risco:
A. Prevenção de risco
B. Aceitação de risco
C. Suposição de risco
D. Transferência de risco
E. Limitação de risco
7) Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000?
A. ISO/IEC 27002
B. ISO/IEC 27004
C. ISO/IEC 27005
D. ISO/IEC 27001
E. ISO/IEC 27003
	
	
7) Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança?
A. Integridade;
B. Auditoria;
C. Autenticidade;
D. Confidencialidade;
E. Não-Repúdio;
8) Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de:
A. Definir e medir a eficácia dos controles ou grupos de controle selecionados.
B. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
C. Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes
D. Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
E. Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização.
8) A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise:
A. Os resultados das auditorias anteriores e análises críticas
B. Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores
C. A avaliação dos riscos e incidentes desejados
D. A realimentação por parte dos envolvidos no SGSI
E. A avaliação das ações preventivas e corretivas
	
	
	
8) A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é:
A. Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões.
B. Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI.
C. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
D. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação.
E. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	
8) O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do:
A. A organização deve implementar e operar a política,controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
B. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
C. A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.
D. Selecionar objetivos de controle e controles para o tratamento de riscos.
E. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação.
	
	
8) Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização:
A. Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI
B. Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI
C. Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco.
D. Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação.
E. Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas
	
	
8) A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ?
A. Correção.
B. Reação.
C. Preventiva.
D. Limitação.
E. Recuperação .
	
	
	
8) Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para:
A. Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos.
B. Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram.
C. Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI.
D. Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores.
E. Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco.
8) Sobre a afirmação: ¿irá definir que a informação é originária de quem diz originar, de forma a impedir que alterações na mensagem original confundam as partes envolvidas na comunicação. E, mesmo que haja alguma alteração na mensagem original, que seja passível de ser detectada¿. Podemos afirmar que estamos conceituando:
A. Legalidade
B. Confiança
C. Não-repúdio
D. Integridade
E. Auditoria
	
	
8) Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação?
A. Suporte técnico.
B. Conscientização dos usuários.
C. Auditoria.
D. Procedimentos elaborados.
E. Segregação de funções.
	
	
8) Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações?
A. Lógica, Administrativa e Contábil.
B. Administrativa, Contábil e Física.
C. Administrativa, Física e Lógica.
D. Administrativa, Física e Programada.
E. Lógica, Física e Programada.
	
	
	
8) Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere:
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle.
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas.
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:
A. I e II.
B. II.
C. II e III.
D. III e IV.
E. I e III.
8) Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir:
A. A política do BIA.
B. A politica de gestão de continuidade de negócio.
C. Identificar, Analisar e avaliar os riscos.
D. A abordagem de análise/avaliação das vulnerabilidades da organização.
E. Identificar e avaliar as opções para o tratamento das vulnerabilidades.
9) Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações.
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento:
A. Entendendo a organização.
B. Testando, mantendo e analisando criticamente os preparativos de GCN.
C. Determinando a estratégia de continuidade de negócios.
D. Desenvolvendo e implementando uma resposta de GCN.
E. Incluindo a GCN na cultura da organização.
	
	
9) O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"?
A. Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
B. Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
C. A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
D. Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.
E. Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações.
9) Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre?
A. Umataque massivo pela internet.
B. Um evento que causa uma parada nos processos da organização por um período de tempo maior do que ela considera aceitável.
C. Um evento súbito, que ocorre de maneira inesperada.
D. Uma catástrofe de grandes impactos.
E. Eventos de ordem natural ou acidental, como terremotos e incêndios.
9) BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios.
A. Estatística e Ordenada
B. Qualitativa e Quantitativa
C. Simples e Objetiva.
D. Clara e Intelegível
E. Natural e Desordenada
9) De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de continuidade do negócio (GCN).
A. A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a incidentes, de continuidade e de comunicação.
B. A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou) atividades críticas e recursos de suporte de uma organização.
C. A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de interrupção das atividades críticas da organização.
D. GCN é a fase inicial da implantação da gestão de continuidade em uma organização.
E. GCN é uma abordagem alternativa à gestão de riscos de segurança da informação.
9) Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade ?
A. Análise de vulnerabilidade
B. Classificação da informação
C. Auditoria interna
D. Análise de impacto dos negócios (BIA)
E. Análise de risco
9) A gestão de continuidade de negócio envolve prioritariamente os seguintes processos:
A. Plano de redundância; análise de risco; planejamento de capacidade
B. Investigação e diagnóstico; resolução de problemas; recuperação
C. Tratamento de incidentes; solução de problemas; acordo de nível de operação
D. Análise de impacto no negócio; avaliação de risco; plano de contingência
E. Gestão de configuração; planejamento de capacidade; gestão de mudança
9) Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada?
A. Tomar controle da situação
B. Comunicar-se com as partes interessadas
C. Afastar o incidente do cliente
D. Controlar o incidente
E. Confirmar a natureza e extensão do incidente
9) O Plano de Continuidade do Negócio......
A. precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais.
B. não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação.
C. prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco.
D. define uma ação de continuidade imediata e temporária.
E. deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não.
 	
10) Que cuidado deve ser tomado no armazenamento de fitas de backup fora da organização?
A. O local de armazenamento deve ser de fácil acesso durante o expediente.
B. O local de armazenamento deve estar a, no mínimo, 25 quilômetros da organização.
C. O local de armazenamento deve estar protegido contra acessos não autorizados.
D. O local de armazenamento deve estar protegido por guardas armados.
E. O local de armazenamento deve estar a, no mínimo, 40 quilômetros da organização.
	
 	
10) Dentre as vantagens de utilização de normas, podemos destacar as seguintes, EXCETO:
A. Compartilhamento de informações com os stakeholders
B. Demonstração de liderança de mercado
C. Criação de vantagens competitivas
D. Desenvolvimento e manutenção das melhores práticas
E. Atrair e manter clientes
10) A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo (inseguro), é conhecida como:
A. zona desmilitarizada (DMZ).
B. wi-fi.
C. pki.
D. backbone.
E. tcp/ip.
10) Em relação a firewalls, analise as assertivas abaixo:
I.Firewalls em estado de conexão mapeiam pacotes e usam campos cabeçalhos TCP/IP para cuidar da conectividade.
II.Firewalls podem implementar gateways em nível de aplicação que examinam os pacotes por dentro, além do cabeçalho TCP/IP, para ver o que a aplicação está fazendo.
III. Um problema fundamental com firewalls é que eles oferecem um único perímetro de defesa, o qual, se rompido, deixará comprometida toda a segurança.
É correto o que se afirma em :
A. I e II, apenas
B. II, apenas
C. I, apenas
D. III, apenas
E. I, II e III
10) Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus componentes ?
A. Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de proteção
B. Redes Não Confiáveis - Não é possível informar se necessitam de proteção.
C. Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou não confiável.
D. Redes Não Confiáveis - Não possuem controle da administração.
E. Redes Não Confiáveis - Não possuem políticas de segurança.
	
	
10) A sub-rede, também conhecida como rede de perímetro, utilizada para transmitir informações entre uma rede confiável e uma não confiável, mantendo os serviços que possuem acesso externo separados da rede local, é chamada de:
A. VPN
B. DMZ
C. Intranet
D. Firewall
E. Proxy
	
	
10) São exemplos de ativos associados a sistemas (pertinentes para a identificação de ameaças), exceto:
A. Hardware
B. Softwares
C. Serviços
D. Informação
E. Pessoas
10) Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança?
A. em uma subrede interna protegida por um proxy
B. ligado diretamente no roteador de borda
C. na rede interna da organização
D. na Zona Desmilitarizada (DMZ) suja
E. na Zona Desmilitarizada (DMZ) protegida
10) Analise as seguintes afirmações relacionadas à Segurança da Informação e os objetivos do controle de acesso:
I. A disponibilidade é uma forma de controle de acesso que permite identificar os usuários legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado.
II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente.
III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que inspeciona uma rede de dentro para fora, identifica e avalia padrões suspeitos que podem identificar um ataque à rede e emite um alarme quando existe a suspeita de uma invasão. IV. A integridade é uma forma de controle de acesso que evita o acesso de pessoas não autorizadas a informações confidenciais, salvaguardando segredos de negócios e protegendo a privacidade de dados pessoais.
Indique a opção que contenha todas as afirmações verdadeiras.
A. II e IV.
B. III e IV.
C. I e III.
D. II e III.
E. I e II.
10) Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizaralguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar:
A. Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede
B. Um detector de intrusão para realizar a análise do tráfego da rede
C. Um sniffer de rede, para analisar o tráfego da rede
D. Um analisador de protocolo para auxiliar na análise do tráfego da rede
E. Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall