Gestão de Segurança da Informação

Prévia do material em texto

GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
1a aula
		
	 
	Lupa
	 
	 
	
Vídeo
	
PPT
	
MP3
	 
	
	 
	Exercício: CCT0059_EX_A1_201501007289_V1 
	25/11/2018 21:17:25 (Finalizada)
	Aluno(a): CARLOS ALEXANDRE DE SOUZA FEITOSA
	2018.2
	Disciplina: CCT0059 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO  
	201501007289
	 
	
	 1a Questão
	
	
	
	
	No contexto da Segurança da Informação, a medida que indica a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos que ela trará está relacionada com qual conceito de?
		
	 
	Risco.
	 
	Ameaça.
	
	Impacto.
	
	Valor.
	
	Vulnerabilidade.
	
	
	Gabarito Coment.
	
	 
	
	 2a Questão
	
	
	
	
	O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas?
		
	
	Apoio às Estratégias para vantagem competitiva
	
	Apoio aos Processos
	
	Apoio à tomada de decisão empresarial
	
	Apoio às Operações
	 
	Apoio ao uso da Internet e do ambiente wireless
	
	
	 
	
	 3a Questão
	
	
	
	
	A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do tratamento dos Dados para a sua utilização eficaz nas organizações?
		
	
	Dado - Informação - Dados Brutos
	 
	Dado - Informação - Conhecimento
	
	Dado - Conhecimento Bruto - Informação Bruta
	
	Dado - Informação - Informação Bruta
	
	Dado - Conhecimento - Informação
	
	
	 
	
	 4a Questão
	
	
	
	
	Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como a tecnologia da informação tem apóiado as operações das empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de ¿Informação¿ ?
		
	
	É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la.
	 
	Deve ser disponibilizada sempre que solicitada.
	 
	É fundamental proteger o conhecimento gerado.
	
	Pode conter aspectos estratégicos para a Organização que o gerou.
	
	A informação é vital para o processo de tomada de decisão de qualquer corporação.
	
	
	Gabarito Coment.
	
	 
	
	 5a Questão
	
	
	
	
	Política de segurança é composta por um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade. Após sua criação ela deve ser:
		
	 
	Comunicada a toda a organização para os usuários de uma forma que seja relevante, acessível e compreensível para o público-alvo.
	 
	Armazenada em local seguro com acesso apenas por diretores e pessoas autorizadas.
	
	Comunicada apenas ao setor de tecnologia da informação de maneria rápida para que todos possam se manter focados no trabalho.
	
	Escondida de toda a organização para garantir sua confidencialidade, integridade e disponibilidade.
	
	Comunicada apenas aos usuários que possuem acesso à Internet.
	
	
	Gabarito Coment.
	
	 
	
	 6a Questão
	
	
	
	
	Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 (três) aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança da Informação". Quais elementos compõem a tríade da segurança da informação?
		
	
	Privacidade, Governabilidade e Confidencialidade
	
	Disponibilidade, Privacidade e Segurabilidade
	
	Integridade, Legalidade e Confiabilidade
	
	Autenticidade, Legalidade e Privacidade
	 
	Confiabilidade, Integridade e Disponibilidade
	
	
	 
	
	 7a Questão
	
	
	
	
	Trata-se de " [...] uma sequência de símbolos quantificados ou quantificáveis. [...]" Também são ______ fotos, figuras, sons gravados e animação." Tal conceito refere-se a:
		
	
	Informação
	
	Conhecimento
	 
	Dado
	
	Nenhuma da alternativas anteriores
	
	Sistemas de Informação
	
	
	 
	
	 8a Questão
	
	
	
	
	Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à:
		
	
	Privacidade
	
	Integridade
	
	Auditoria
	
	Confidencialidade
	 
	Disponibilidade
	
	
	1a Questão
	
	
	
	Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a tecnologia da informação apóia as operações e processos das empresas, qual das opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo?
		
	 
	O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações;
	
	O crescimento explosivo dos cursos relacionados com a tecnologia da informação;
	
	O crescimento explosivo da venda de computadores e sistemas livres;
	
	O uso da internet para sites de relacionamento;
	
	O Aumento no consumo de softwares licenciados;
	
	
	 
	
	 2a Questão
	
	
	
	
	Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do pagamento dos funcionários. Neste momento o sistema de Pagamento necessita ser acessado pela área de contabilidade, pois caso ocorra uma falha o pagamento dos funcionários não poderá ser realizado. Neste caso qual o pilar da segurança está envolvido:
		
	
	Integridade
	 
	Confiabilidade
	
	Legalidade
	 
	Disponibilidade
	
	Confidencialidade
	
	
	 
	
	 3a Questão
	
	
	
	
	O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual conceito?
		
	
	Valor.
	 
	Ameaça.
	 
	Risco.
	
	Impacto.
	
	Vulnerabilidade.
	
	
	Gabarito Coment.
	
	 
	
	 4a Questão
	
	
	
	
	O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará está relacionado com qual conceito de?
		
	 
	Impacto.
	
	Vulnerabilidade.
	 
	Ameaça.
	
	Valor.
	
	Risco.
	
	
	 
	
	 5a Questão
	
	
	
	
	Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta situação?
		
	
	Tangível
	
	Passivo
	 
	Intangível
	 
	Ativo
	
	Abstrato
	
	
	 
	
	 6a Questão
	
	
	
	
	Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedade e que permitem a organização deste ativos em grupos com características semelhantes no que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções abaixo define a classificação dos tipos de ativos?
		
	
	Contábil e Não Contábil.
	
	Intangível e Qualitativo.
	 
	Tangível e Intangível.
	
	Tangível e Físico.
	
	Material e Tangível.
	
	
	 
	
	 7a Questão
	
	
	
	
	O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de "Informação"?
		
	
	Pode habilitar a empresaa alcançar seus objetivos estratégicos;
	
	É dado trabalhado, que permite ao executivo tomar decisões;
	
	É a matéria-prima para o processo administrativo da tomada de decisão;
	 
	Possui valor e deve ser protegida;
	 
	Por si só não conduz a uma compreensão de determinado fato ou situação;
	
	
	 
	
	 8a Questão
	
	
	
	
	Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos dizer que:
		
	
	A afirmativa é verdadeira somente para vulnerabilidades físicas.
	 
	A afirmativa é verdadeira.
	
	A afirmativa é falsa.
	
	A afirmativa é verdadeira somente para vulnerabilidades lógicas.
	
	A afirmativa é verdadeira somente para ameaças identificadas.
	
	
	1a Questão
	
	
	
	Sobre o conceito: " [...] é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em desiquilíbrio operacional e, eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo". Tal conceituação refere-se a qual tipo de informação, no que tange ao nível de prioridade da mesma, segundo Wadlow (2000)?
		
	
	Informação secreta
	 
	Informação confidencial
	
	Informação Pública
	
	Informação Interna
	
	Nenhuma das alternativas anteriores
	
	
	 
	
	 2a Questão
	
	
	
	
	Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para as organizações quando tratamos de Segurança da Informação?
		
	
	Valor de troca.
	 
	Valor de propriedade.
	
	Valor de uso.
	
	Valor de restrição.
	 
	Valor de orçamento.
	
	
	Gabarito Coment.
	
	 
	
	 3a Questão
	
	
	
	
	Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que as informações enviadas por ele ao banco e as enviadas do banco para ele são originais, ou seja, não foram alteradas durante a transmissão? Neste caso estamos falando de:
		
	
	Autenticação
	
	Confidencialidade
	 
	Integridade
	
	Disponibilidade
	
	Não-repúdio
	
	
	Gabarito Coment.
	
	 
	
	 4a Questão
	
	
	
	
	Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste caso houve uma falha na segurança da informação relacionada à:
		
	 
	Integridade;
	
	Auditoria;
	
	Não-Repúdio;
	
	Confidencialidade;
	
	Autenticidade;
	
	
	Gabarito Coment.
	
	 
	
	 5a Questão
	
	
	
	
	De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de segurança¿, podemos dizer que:
		
	
	A afirmação é somente verdadeira para as empresas privadas.
	
	A afirmação será somente verdadeira se as empresas forem de um mesmo mercado.
	
	A afirmação é somente falsa para as empresas privadas.
	 
	A afirmação é verdadeira.
	
	A afirmação é falsa.
	
	
	 
	
	 6a Questão
	
	
	
	
	Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao seguinte conceito: "Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas"?
		
	
	Valor de uso.
	 
	Valor de restrição.
	
	Valor de negócio.
	
	Valor de propriedade.
	
	Valor de troca.
	
	
	 
	
	 7a Questão
	
	
	
	
	As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação?
		
	
	Fragilidade presente ou associada a ativos que exploram ou processam informações .
	 
	Ameaça presente ou associada a ativos que manipulam ou processam informações.
	
	Impacto presente ou associada a ativos que manipulam ou processam informações.
	
	Fragilidade presente ou associada a ameaças que manipulam ou processam informações .
	 
	Fragilidade presente ou associada a ativos que manipulam ou processam informações .
	
	
	 
	
	 8a Questão
	
	
	
	
	Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como o banco pode garantir-se de que, posteriormente, João venha a afirmar que não foi ele quem fez o acesso? Neste caso estamos falando de:
		
	
	Integridade
	 
	Não-repúdio
	
	Confidencialidade
	
	Disponibilidade
	 
	Autenticação
	1a Questão
	
	
	
	Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria compartilhe as informações confidenciais que possui. Neste caso estamos falando de vulnerabilidade do tipo:
		
	 
	Humana
	
	Natural
	
	Física
	
	Comunicação
	
	Mídia
	
	
	Gabarito Coment.
	
	 
	
	 2a Questão
	
	
	
	
	
Observe a figura acima e complete corretamente a legenda dos desenhos:
 
		
	
	Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos
	
	Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios
	 
	Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios
	 
	Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos
	
	Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios
	
	
	Gabarito Coment.
	
	 
	
	 3a Questão
	
	
	
	
	As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware:
		
	
	Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
	
	Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
	 
	Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
	 
	Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
	
	Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações.
	
	
	Gabarito Coment.
	
	 
	
	 4a Questão
	
	
	
	
	Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a informação, não acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará evitando como também prevenindo a concretização de possíveis ameaças. Baseado neste fato podemos denominar como Vulnerabilidade Física:
		
	
	Acessos não autorizados ou perda de comunicação e a ausência de sistemas de criptografia nas comunicações.
	 
	Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
	 
	Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas.
	
	Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto, destruição de propriedades ou de dados, invasões, guerras, etc.).
	
	Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura).
	
	
	Gabarito Coment.
	
	 
	
	 5a QuestãoAtaque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque?
		
	 
	Vulnerabilidade Software
	 
	Vulnerabilidade Mídias
	
	Vulnerabilidade Natural
	
	Vulnerabilidade Física
	
	Vulnerabilidade Comunicação
	
	
	Gabarito Coment.
	
	 
	
	 6a Questão
	
	
	
	
	As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Software:
		
	
	Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
	 
	Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
	
	Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
	 
	Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários.
	
	Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
	
	
	 
	
	 7a Questão
	
	
	
	
	João trabalha no Datacenter de uma empresa de Tecnologia. Logo assim que chegou no ambiente de trabalho, ocorreu um curto circuito e iniciou um incêndio. João correu para buscar um extintor contra incêndio e percebeu que ele estava vazio. Neste caso estamos falando de vulnerabilidade do tipo:
		
	
	Mídia
	 
	Humana
	 
	Física
	
	Comunicação
	
	Natural
	
	
	 
	
	 8a Questão
	
	
	
	
	Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas tentativas de invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso?
		
	
	Vulnerabilidade Física.
	
	Vulnerabilidade de Comunicação.
	 
	Vulnerabilidade de Software.
	
	Vulnerabilidade Natural.
	
	Vulnerabilidade de Mídias.
	1a Questão
	
	
	
	Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça¿. Podemos dizer que é:
		
	 
	verdadeira
	
	falsa, pois não devemos considerar que diferentes ameaças existem .
	
	falsa, pois não depende do ativo afetado.
	
	parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça.
	
	falsa, pois os impactos são sempre iguais para ameaças diferentes.
	
	
	 
	
	 2a Questão
	
	
	
	
	A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual de hackers mas na verdade estas pessoas tem amplo conhecimento de programação e noções de rede e internet, não desenvolvem vulnerabilidades e não tem intenção de roubar informações, estes na verdade são os crackers que invadem sistemas em rede ou computadores para obter vantagens muitas vezes financeiras. Verifique nas sentenças abaixo as que estão corretas em relação a descrição dos potenciais atacantes: I - Wannabes ou script kiddies São aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos. II- Defacers Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou realizam chamadas sem tarifação. III- Pheakres São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web e modificá-las.
		
	 
	Apenas a sentença I está correta.
	
	Todas as sentenças estão corretas.
	
	As sentenças II e III estão corretas.
	
	As sentenças I e III estão corretas.
	
	As sentenças I e II estão corretas.
	
	
	Gabarito Coment.
	
	 
	
	 3a Questão
	
	
	
	
	Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código malicioso ou Malware ?
		
	
	trojan horse
	
	keyloggers
	 
	active-x
	
	rootkit
	
	worm
	
	
	 
	
	 4a Questão
	
	
	
	
	Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo teclado do usuário e é enviado para o invasor ?
		
	
	Backdoor
	
	Defacement
	
	Spyware
	 
	Keylogger
	 
	Phishing
	
	
	 
	
	 5a Questão
	
	
	
	
	Desde o aparecimento do primeiro spam, em 1994, a prática de enviar e-mails não solicitados tem sido aplicada com vários objetivos distintos e também utilizando diferentes aplicativos e meios de propagação na rede. Os tipos de spam identificados até o momento são: correntes, boatos, lendas urbanas, propagandas, ameaças, pornografia, códigos maliciosos, fraudes e golpes.
É muito importante que se saiba como identificar os spams, para poder detectá-los mais facilmente e agir adequadamente. Dentre as afirmativas abaixo marque aquelas que podemos assinalar como sendo as principais características dos spams:
I. Apresentam cabeçalho suspeito. 
II. Apresentam no campo Assunto palavras com grafia errada ou suspeita. 
III. Apresentam no campo Assunto textos alarmantes ou vagos. 
IV. Oferecem opção de remoção da lista de divulgação. 
V. Prometem que serão enviados "uma única vez. 
VI. Baseiam-se em leis e regulamentações inexistentes.
Estão corretas:
		
	
	II, IV e VI
	 
	Todas as afirmativas estão corretas
	
	I, III e V
	
	Nenhuma afirmativa está correta
	
	I, II, III, V e VI
	
	
	Gabarito Coment.
	
	 
	
	 6a Questão
	
	
	
	
	As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade?
		
	
	Naturais, Involuntárias e Obrigatórias.
	 
	Naturais, Voluntarias e Obrigatórias.
	
	Ocasionais, Involuntárias e Obrigatórias.
	
	Naturais, Voluntarias e Vulneráveis.
	 
	Naturais, Involuntárias e Voluntarias.
	
	
	 
	
	 7a Questão
	
	
	
	
	As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classificadas como:
		
	
	Insconsequentes
	
	Tecnológicas.
	 
	Destrutivas
	
	Globalizadas
	 
	Voluntárias
	
	
	Gabarito Coment.
	
	 
	
	 8a Questão
	
	
	
	
	Pedro construiu um software malicioso capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Neste caso podemos afirmar que Pedro construiu um:
		
	 
	Keylogger
	
	Backdoor
	
	Worm
	
	Screenlogger
	
	Trojan
	1a Questão
	
	
	
	Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador ?
		
	 
	Ataque para Obtenção de Informações
	 
	Ataque á Aplicação
	
	Ataque aos Sistemas Operacionais
	
	Ataque de Configuração mal feita
	
	Ataques de códigos pré-fabricados
	
	
	Gabarito Coment.
	
	 
	
	 2a Questão
	
	
	
	
	São consideradas pragas digitais, EXCETO:Cavalos-de-Troia.
	
	KeyLoggers
	
	Hijackers
	 
	Worm.
	 
	MalwareBytes.
	
	
	Gabarito Coment.
	
	 
	
	 3a Questão
	
	
	
	
	Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital as empresas se viram obrigadas a pensar na segurança de suas informações para evitar ameaças e golpes. Assim, a segurança da informação surgiu para reduzir possíveis ataques aos sistemas empresariais e domésticos. Resumindo, a segurança da informação é uma maneira de proteger os sistemas de informação contra diversos ataques, ou seja, mantendo documentações e arquivos. Podemos citar como ítens básicos, reconhecidos, de um ataque a sistemas de informação:
		
	 
	Scaming de protocolos, Pedido de informações e Invasão do sistema.
	 
	Levantamento das informações, Exploração das informações e Obtenção do acesso.
	
	Engenharia Social, Invasão do sistema e Alteração das informções.
	
	Adequação das informações, Pressão sobre os funcionários e Descoberta de senhas.
	
	Estudo do atacante, Descoberta de informações e Formalização da invasão.
	
	
	Gabarito Coment.
	
	 
	
	 4a Questão
	
	
	
	
	Pedro construiu um programa que permite que ele se conecte remotamente a um computador depois que o programa for instalado na máquina alvo. Neste caso podemos afirmar que Pedro construiu um:
		
	 
	Backdoor
	 
	Keylogger
	
	Screenlogger
	
	Trojan
	
	Worm
	
	
	Gabarito Coment.
	
	 
	
	 5a Questão
	
	
	
	
	Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de comércio eletrônico.
		
	 
	Phishing.
	 
	Exploits.
	
	Trojans.
	
	Hijackers.
	
	Wabbit.
	
	
	Gabarito Coment.
	
	 
	
	 6a Questão
	
	
	
	
	Suponha que um hacker esteja planejando um ataque a uma empresa. Inicialmente irá utilizar diversos artifícios e mecanismos para se aproximar da empresa ou rede a ser atacada. Como se chama este primeiro passo do atacante?
		
	
	Acessando a empresa
	 
	Levantamento das Informações de forma passiva.
	
	Levantamento das Informações de forma ativa
	
	Explorando informações.
	
	Engenharia Social
	
	
	 
	
	 7a Questão
	
	
	
	
	Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Consiste na verificação do lixo em busca de informações que possam facilitar o ataque. É uma técnica eficiente e muito utilizada e que pode ser considerada legal visto que não existem leis a respeito dos lixos. Neste caso é interessante que as informações críticas da organização (planilhas de custos,  senhas e outros  dados importantes)  sejam triturados ou destruídos de alguma forma. Qual seria este ataque:
		
	
	Port Scanning.
	 
	Dumpster diving ou trashing.
	 
	Packet Sniffing.
	
	Ip Spoofing.
	
	Syn Flooding.
	
	
	Gabarito Coment.
	
	 
	
	 8a Questão
	
	
	
	
	Na categoria de software malicioso (malware), assinale a alternativa que identifica uma ameaça que consiste no envio de uma mensagem não-solicitada, que procura induzir o destinatário a fornecer dados pessoais ou financeiros, tais como senhas, número do CPF e número da conta-corrente.
		
	 
	Phishing
	 
	Hoaxes (boatos)
	
	Vírus de boot
	
	Cavalo de troia
	
	Keylogger (espião de teclado)
	1a Questão
	
	
	
	Qual das opções abaixo não representa uma das etapas da Gestão de Risco:
		
	 
	Identificar e avaliar os riscos.
	
	Manter e melhorar os controles
	
	Verificar e analisar criticamente os riscos.
	
	Selecionar, implementar e operar controles para tratar os riscos.
	 
	Manter e melhorar os riscos identificados nos ativos
	
	
	Gabarito Coment.
	
	 
	
	 2a Questão
	
	
	
	
	Vamos analisar cada item. E marque a alternativa correta.
		
	 
	O HTTP (hipertexto transfer protocol)? a ? é o protocolo utilizado pela WEB;
	
	O driver do HD possibilita a comunicação entre o HD e o computador/sistema operacional;
	
	O FTP (file transfer protocol) é o protocolo para transferência de arquivos do conjunto TCP/IP. Não é o único capaz de transferir arquivos, mas este é especializado e possui vários comandos para navegação e transferência de arquivos;
	 
	O antivírus é uma ferramenta que auxilia no combate às pragas eletrônicas
	
	RSS (Really Simple Syndication) é uma forma de Feed que possibilita ao usuário receber dados de diversas fontes, reunindo-os em único local;
	
	
	 
	
	 3a Questão
	
	
	
	
	Qual o nome da técnica/ataque ou maneira de identificar trafego de dados que "passam" em uma rede de computadores ?
		
	
	Spyware
	 
	Sniffer
	 
	Keylogger
	
	DoS
	
	Monitor
	
	
	Gabarito Coment.
	
	 
	
	 4a Questão
	
	
	
	
	Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no momento da descoberta ?
		
	
	Adware
	 
	Rootkit
	 
	0day
	
	Backdoor
	
	Spam
	
	
	 
	
	 5a Questão
	
	
	
	
	Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar":
		
	 
	Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco.
	
	Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação.
	 
	Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões.
	
	Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças.
	
	Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio.
	
	
	Gabarito Coment.
	
	 
	
	 6a Questão
	
	
	
	
	Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco:
		
	 
	Melhorar a efetividade das decisões para controlar os riscos
	
	Entender os riscos associados ao negócio e a gestão da informação
	
	Manter a reputação e imagem da organização
	
	Melhorar a eficácia no controle de riscos
	 
	Eliminar os riscos completamente e não precisar mais tratá-los
	
	
	Gabarito Coment.
	
	 
	
	 7a Questão
	
	
	
	
	Qual das opções abaixo representa o tipo de ação quando observamos que o custo de proteção contra um determinado risco não vale a pena ser aplicado:
		
	
	Comunicação do Risco
	 
	Monitoramento do Risco
	
	Recusar o Risco
	 
	Aceitação do Risco
	
	Garantia do Risco
	
	
	 
	
	 8a Questão
	
	
	
	
	Você trabalha na área de gestão de risco da sua organização. Após a fase de análise de risco, você irá realizar a etapa de tratamento de risco através da implementação de controles que irão reduzir a probabilidade de ameaças se concretizarem , assim como a diminuição do grau de vulnerabilidade do ambiente de produção. Neste caso a medida de proteção implementada foi:
		
	
	Medidas reativas
	 
	Métodos detectivos
	
	Medidas de controles
	
	Medidas corretivas
	 
	Medidas preventivas
	
	
	1a Questão
	
	
	
	Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes?
		
	 
	Diretrizes.
	 
	Normas.
	
	Manuais.
	
	Relatório Estratégico.
	
	Procedimentos.
	
	
	Gabarito Coment.
	
	 
	
	 2a Questão
	
	
	
	
	Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ?
		
	
	ISO/IEC 27004
	 
	ISO/IEC27005
	
	ISO/IEC 27003
	
	ISO/IEC 27002
	
	ISO/IEC 27001
	
	
	Gabarito Coment.
	
	 
	
	 3a Questão
	
	
	
	
	Os processos que envolvem a gestão de risco são, exceto:
		
	
	Realizar a análise qualitativa do risco
	 
	Gerenciar as respostas aos riscos
	
	Planejar o gerenciamento de risco
	 
	Realizar a análise quantitativa do risco
	
	Identificar os riscos
	
	
	 
	
	 4a Questão
	
	
	
	
	Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de segurança da informação. Assinale a opção correta.
		
	
	A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação.
	 
	A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas.
	
	Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco.
	 
	Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise de riscos uma delas.
	
	No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações.
	
	
	 
	
	 5a Questão
	
	
	
	
	Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.
		
	 
	Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
	
	Os riscos residuais são conhecidos antes da comunicação do risco.
	
	Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
	 
	A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
	
	Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.
	
	
	Gabarito Coment.
	
	 
	
	 6a Questão
	
	
	
	
	A gestão da continuidade do negócio está associada, a não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. 
Analise: 
I. Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio; 
II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade; 
III. Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação. 
IV. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação; 
Quanto aos controles relacionados à gestão da continuidade do negócio, marque a opção correta:
		
	 
	I e II, somente
	
	I, II e III, somente
	
	I, II e IV, somente
	
	I e III, somente
	 
	II e IV, somente
	
	
	Gabarito Coment.
	
	 
	
	 7a Questão
	
	
	
	
	Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas.
1) Comitê de segurança da informação. 
2) Controle. 
3) Funções de software e hardware. 
4) Deve ser analisado criticamente. 
5) Política.
( ) Controle. 
( ) Firewall. 
( ) estrutura organizacional. 
( ) Permissão de acesso a um servidor. 
( ) Ampla divulgação das normas de segurança da informação.
A combinação correta entre as duas colunas é:
		
	
	1-2-4-3-5.
	 
	4-3-5-2-1.
	
	5-1-4-3-2.
	 
	4-3-1-2-5.
	
	2-3-1-5-4.
	
	
	Gabarito Coment.
	
	 
	
	 8a Questão
	
	
	
	
	Dada as assertivas, marque a opção correta: I- O risco tem duas dimensões: (i) probabilidade de ocorrência e (ii) impacto sobre o projeto. II- Dificilmente as chances de um risco ser totalmente eliminado é real. III- A gestão de riscos só visa o monitoramento para detecção de ameaças.
		
	 
	Apenas I e II corretas
	 
	Apenas I correta
	
	Apenas II e III corretas
	
	Apenas III correta
	
	Apenas II correta
	1a Questão
	
	
	
	Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:
		
	 
	III e IV.
	
	I e III.
	
	II.
	
	I e II.
	 
	II e III.
	
	
	Gabarito Coment.
	
	 
	
	 2a Questão
	
	
	
	
	A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:
		
	 
	implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado.
	
	implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI.
	
	implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais.
	 
	implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI.
	
	
	 
	
	 3a Questão
	
	
	
	
	A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
		
	
	Corrigidas e Preventivas.
	
	Corretivas e Correção.
	 
	Prevenção e Preventivas.
	 
	Corretivas e Preventivas.
	
	Corretivas e Corrigidas.
	
	
	 
	
	 4a Questão
	
	
	
	
	Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação?
		
	 
	Auditoria.
	
	Suporte técnico.
	 
	Conscientização dos usuários.
	
	Segregação de funções.
	
	Procedimentos elaborados.
	
	
	Gabarito Coment.
	
	 
	
	 5a Questão
	
	
	
	
	Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações?
		
	 
	Lógica, Administrativa e Contábil.
	
	Administrativa, Contábil e Física.
	
	Administrativa, Física e Programada.
	 
	Administrativa, Física e Lógica.
	
	Lógica, Física e Programada.
	
	
	Gabarito Coment.
	
	 
	
	 6a Questão
	
	
	
	
	A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência dealarmes, neste caso qual o tipo de proteção que está sendo utilizada ?
		
	
	Limitação
	 
	Desencorajamento
	 
	Reação
	
	Correção
	
	Preventiva
	
	
	 
	
	 7a Questão
	
	
	
	
	O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do:
		
	
	Selecionar objetivos de controle e controles para o tratamento de riscos.
	
	A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.
	 
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação.
	 
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	
	
	Gabarito Coment.
	
	 
	
	 8a Questão
	
	
	
	
	Sobre a afirmação: ¿irá definir que a informação é originária de quem diz originar, de forma a impedir que alterações na mensagem original confundam as partes envolvidas na comunicação. E, mesmo que haja alguma alteração na mensagem original, que seja passível de ser detectada¿. Podemos afirmar que estamos conceituando:
		
	 
	Não-repúdio
	
	Confiança
	
	Auditoria
	 
	Integridade
	
	Legalidade
	1a Questão
	
	
	
	Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir:
		
	
	A política do BIA.
	
	A politica de gestão de continuidade de negócio.
	 
	Identificar e avaliar as opções para o tratamento das vulnerabilidades.
	
	A abordagem de análise/avaliação das vulnerabilidades da organização.
	 
	Identificar, Analisar e avaliar os riscos.
	
	
	 
	
	 2a Questão
	
	
	
	
	Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de:
		
	 
	Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
	
	Definir e medir a eficácia dos controles ou grupos de controle selecionados.
	 
	Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização.
	
	Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
	
	Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes
	
	
	 
	
	 3a Questão
	
	
	
	
	A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise:
		
	
	A avaliação das ações preventivas e corretivas
	
	Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores
	
	Os resultados das auditorias anteriores e análises críticas
	 
	A avaliação dos riscos e incidentes desejados
	
	A realimentação por parte dos envolvidos no SGSI
	
	
	Gabarito Coment.
	
	 
	
	 4a Questão
	
	
	
	
	A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é:
		
	
	Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões.
	 
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	 
	Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI.
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação.
	
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	
	
	Gabarito Coment.
	
	 
	
	 5a Questão
	
	
	
	
	A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ?
		
	 
	Preventiva.
	
	Recuperação .
	
	Correção.
	 
	Limitação.
	
	Reação.
	
	
	 
	
	 6a Questão
	
	
	
	
	No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um Problema de Segurança:
		
	
	Uma inundação.
	
	A perda de qualquer aspecto de segurança importante para a organização.
	
	Uma Operação Incorreta ou Erro do usuário.
	 
	Restrição Financeira.
	
	Uma tempestade.
	
	
	 
	
	 7a Questão
	
	
	
	
	A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
		
	 
	Corretivas e Preventivas
	
	Corretivas e Correção
	
	Corretivas e Corrigidas
	 
	Prevenção e Preventivas
	
	Corrigidas e Preventivas
	
	
	 
	
	 8a Questão
	
	
	
	
	Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para:
		
	
	Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram.
	
	Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores.
	
	Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos.
	 
	Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. 
	 
	Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 
	1a Questão
	
	
	
	O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades:o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"?
		
	 
	A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
	 
	Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
	
	Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.
	
	A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
	
	O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações.
	
	
	Gabarito Coment.
	
	 
	
	 2a Questão
	
	
	
	
	Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)?
		
	 
	O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados.
	
	O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação.
	
	O PRD é mais abrangente que o PCN.
	
	O PCN só pode ser implementado se o PRD já tiver em uso.
	
	O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-se na continuidade para todos os processos.
	
	
	 
	
	 3a Questão
	
	
	
	
	A gestão de continuidade de negócio envolve prioritariamente os seguintes processos:
		
	
	Plano de redundância; análise de risco; planejamento de capacidade
	
	Tratamento de incidentes; solução de problemas; acordo de nível de operação
	 
	Análise de impacto no negócio; avaliação de risco; plano de contingência
	
	Investigação e diagnóstico; resolução de problemas; recuperação
	
	Gestão de configuração; planejamento de capacidade; gestão de mudança
	
	
	 
	
	 4a Questão
	
	
	
	
	Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações que você deve realizar:
		
	
	Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e serviços fundamentais para a organização.
	
	Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização.
	 
	Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização.
	
	Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de produtos e serviços fundamentais para a organização.
	
	Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização.
	
	
	Gabarito Coment.
	
	 
	
	 5a Questão
	
	
	
	
	Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ?
		
	 
	Planejamento, desenvolvimento e implementação do programa
	
	Planejamento, maturação e desenvolvimento
	
	Planejamento, estudo e implementação do programa
	
	Manutenção, desenvolvimento e implementação do programa
	
	Manutenção, implementação do programa e maturação
	
	
	 
	
	 6a Questão
	
	
	
	
	Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação relacionada à:
		
	
	Confidencialidade;
	 
	Não-Repúdio;
	
	Auditoria;
	
	Autenticidade;
	 
	Integridade;
	
	
	 
	
	 7a Questão
	
	
	
	
	Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações.
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento:
		
	
	Determinando a estratégia de continuidade de negócios.
	
	Entendendo a organização.
	
	Testando, mantendo e analisando criticamente os preparativos de GCN.
	 
	Desenvolvendo e implementando uma resposta de GCN.
	
	Incluindo a GCN na cultura da organização.
	
	
	Gabarito Coment.
	
	 
	
	 8a Questão
	
	
	
	
	Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre?
		
	
	Eventos de ordem natural ou acidental, como terremotos e incêndios.
	 
	Um evento que causa uma parada nos processos da organização por um período de tempo maior do que ela considera aceitável.
	
	Uma catástrofe de grandes impactos.
	
	Um evento súbito, que ocorre de maneira inesperada.
	 
	Um ataque massivo pela internet.
	1a Questão
	
	
	
	Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada?
		
	 
	Afastar o incidente do cliente
	 
	Confirmar a natureza e extensão do incidente
	
	Tomar controle da situação
	
	Controlar o incidente
	
	Comunicar-se com as partes interessadas
	
	
	Gabarito Coment.
	
	 
	
	 2a Questão
	
	
	
	
	O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"?
		
	 
	A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
	
	Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
	 
	Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações.
	
	Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.
	
	Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
	
	
	Gabarito Coment.
	
	 
	
	 3a QuestãoPor que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) esteja no nível mais alto da organização?
		
	 
	Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas.
	
	Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas.
	 
	Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas.
	
	Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções inesperadas.
	
	Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções inesperadas.
	
	
	Gabarito Coment.
	
	 
	
	 4a Questão
	
	
	
	
	Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança?
		
	
	Integridade;
	
	Auditoria;
	
	Não-Repúdio;
	 
	Confidencialidade;
	 
	Autenticidade;
	
	
	Gabarito Coment.
	
	 
	
	 5a Questão
	
	
	
	
	O Plano de Continuidade do Negócio......
		
	
	define uma ação de continuidade imediata e temporária.
	
	precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais.
	
	não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação.
	 
	deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não.
	 
	prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco.
	
	
	 
	
	 6a Questão
	
	
	
	
	Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida:
		
	
	A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos.
	 
	A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos.
	
	
	 
	
	 7a Questão
	
	
	
	
	Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade ?
		
	
	Auditoria interna
	 
	Análise de impacto dos negócios (BIA)
	 
	Análise de risco
	
	Análise de vulnerabilidade
	
	Classificação da informação
	8a Questão
	
	
	
	BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios.
		
	
	Simples e Objetiva.
	 
	Qualitativa e Quantitativa
	
	Estatística e Ordenada
	
	Clara e Intelegível
	
	Natural e Desordenada
	1a Questão
	
	
	
	Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos se comuniquem diretamente com sites na Internet. Neste caso você optará por implementar :
		
	 
	Um servidor proxy
	
	Um filtro de pacotes
	
	Um detector de intrusão
	
	Um firewall com estado
	
	Um roteador de borda
	
	
	Gabarito Coment.
	
	 
	
	 2a Questão
	
	
	
	
	Uma empresa teve a sua sala de servidores incendiadas e com isso perdeu todos os dados importantes para a empresa, mas ela estava preparada para a continuidade dos negócios, o que você acha que foi importante para a recuperação destes dados:
		
	
	Havia uma VPN interligando várias Intranets através da Internet.
	 
	Na empresa haviam Backups ou cópias de segurança que são itens muito importantes na administração de sistemas devendo fazer parte da rotina de operação dos sistemas da organização, através de uma política pré-determinada.
	
	Eles dispunham de uma DMZ que são pequenas redes que geralmente contém serviços públicos que são conectados diretamente ao firewall ou a outro dispositivo de filtragem e que recebem a proteção deste dispositivo.
	
	A empresa possuía um FIREWALL que isolam a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e outros não, prevenindo ataques de negação de serviço ou modificações e acessos ilegais aos dados internos.
	
	Eles tinham um IDS que tem como principal objetivo reconhecer um comportamento ou uma ação intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede.
	
	
	 
	
	 3a Questão
	
	
	
	
	A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo (inseguro), é conhecida como:
		
	
	backbone.
	
	tcp/ip.
	 
	zona desmilitarizada (DMZ).
	 
	pki.
	
	wi-fi.
	
	
	 
	
	 4a Questão
	
	
	
	
	Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente físico e, até mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de contingência que melhor conduza o objeto a operar sob um nível de risco controlado. Nas estratégias de contingência possíveis de implementação, qual a estratégia que está pronta para entrar em operação assim que uma situação de risco ocorrer?
		
	
	Warm-site
	 
	Cold-site
	 
	Hot-site
	
	Realocação de operação
	
	Acordo de reciprocidade
	
	
	Gabarito Coment.
	
	 
	
	 5a Questão
	
	
	
	
	Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e a internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados.
		
	
	Antivírus.
	
	Mailing.
	 
	Adware.
	 
	Firewall.
	
	Spyware.
	
	
	 
	
	 6a Questão
	
	
	
	
	Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus componentes ?
		
	
	Redes Não Confiáveis - Não possuem controle da administração.
	
	Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de proteção
	 
	Redes Não Confiáveis - Não é possível informar se necessitam de proteção.
	
	Redes Não Confiáveis - Não possuem políticas de segurança.
	 
	Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou não confiável.
	
	
	 
	
	 7a Questão
	
	
	
	
	Que cuidado deve ser tomado no armazenamento de fitas de backup fora da organização?
		
	
	O local de armazenamento deve estar protegido por guardas armados.
	
	O local de armazenamento deve ser de fácil acesso durante o expediente.
	
	O local de armazenamento deve estar a, no mínimo, 40 quilômetros da organização.
	 
	O local de armazenamento deve estar a, no mínimo, 25 quilômetros da organização.
	 
	O local de armazenamento deve estar protegido contra acessos não autorizados.8a Questão
	
	
	
	
	O fato de se poder conectar qualquer computador em qualquer lugar a qualquer outro computador pode torná- lo vulnerável. O recurso técnico para proteger essa conexão de dados é através de:
		
	
	Esteganografia
	
	Proxy
	
	PKI
	 
	Firewall
	
	Certificação digital
	Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada?
		
	 
	Afastar o incidente do cliente
	 
	Confirmar a natureza e extensão do incidente
	
	Tomar controle da situação
	
	Controlar o incidente
	
	Comunicar-se com as partes interessadas
	
	
	Gabarito Coment.
	
	 
	
	 2a Questão
	
	
	
	
	O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"?
		
	 
	A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
	
	Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
	 
	Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações.
	
	Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.
	
	Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
	
	
	Gabarito Coment.
	
	 
	
	 3a Questão
	
	
	
	
	Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) esteja no nível mais alto da organização?
		
	 
	Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas.
	
	Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas.
	 
	Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas.
	
	Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções inesperadas.
	
	Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções inesperadas.
	
	
	Gabarito Coment.
	
	 
	
	 4a Questão
	
	
	
	
	Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança?
		
	
	Integridade;
	
	Auditoria;
	
	Não-Repúdio;
	 
	Confidencialidade;
	 
	Autenticidade;
	
	
	Gabarito Coment.
	
	 
	
	 5a Questão
	
	
	
	
	O Plano de Continuidade do Negócio......
		
	
	define uma ação de continuidade imediata e temporária.
	
	precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais.
	
	não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação.
	 
	deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não.
	 
	prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco.
	
	
	 
	
	 6a Questão
	
	
	
	
	Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida:
		
	
	A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos.
	 
	A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos.
	
	
	 
	
	 7a Questão
	
	
	
	
	Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade ?
		
	
	Auditoria interna
	 
	Análise de impacto dos negócios (BIA)
	 
	Análise de risco
	
	Análise de vulnerabilidade
	
	Classificação da informação
	
	
	Gabarito Coment.
	
	 
	
	 8a Questão
	
	
	
	
	BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios.
		
	
	Simples e Objetiva.
	 
	Qualitativa e Quantitativa
	
	Estatística e Ordenada
	
	Clara e Intelegível
	
	Natural e Desordenada
	
	
	1a Questão
	
	
	
	Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos se comuniquem diretamente com sites na Internet. Neste caso você optará por implementar :
		
	 
	Um servidor proxy
	
	Um filtro de pacotes
	
	Um detector de intrusão
	
	Um firewall com estado
	
	Um roteador de borda
	
	
	Gabarito Coment.
	
	 
	
	 2a Questão
	
	
	
	
	Uma empresa teve a sua sala de servidores incendiadas e com isso perdeu todos os dados importantes para a empresa, mas ela estava preparada para a continuidade dos negócios, o que você acha que foi importante para a recuperação destes dados:
		
	
	Havia uma VPN interligando várias Intranets através da Internet.
	 
	Na empresa haviam Backups ou cópias de segurança que são itens muito importantes na administração de sistemas devendo fazer parte da rotina de operação dos sistemas da organização, através de uma política pré-determinada.
	
	Eles dispunham de uma DMZ que são pequenas redes que geralmente contém serviços públicos que são conectados diretamente ao firewall ou a outro dispositivo de filtragem e que recebem a proteção deste dispositivo.
	
	A empresa possuía um FIREWALL que isolam a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e outros não, prevenindo ataques de negação de serviço ou modificações e acessos ilegais aos dados internos.
	
	Eles tinham um IDS que tem como principal objetivo reconhecer um comportamento ou uma ação intrusiva, através daanálise das informações disponíveis em um sistema de computação ou rede.
	
	
	 
	
	 3a Questão
	
	
	
	
	A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo (inseguro), é conhecida como:
		
	
	backbone.
	
	tcp/ip.
	 
	zona desmilitarizada (DMZ).
	 
	pki.
	
	wi-fi.
	
	
	 
	
	 4a Questão
	
	
	
	
	Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente físico e, até mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de contingência que melhor conduza o objeto a operar sob um nível de risco controlado. Nas estratégias de contingência possíveis de implementação, qual a estratégia que está pronta para entrar em operação assim que uma situação de risco ocorrer?
		
	
	Warm-site
	 
	Cold-site
	 
	Hot-site
	
	Realocação de operação
	
	Acordo de reciprocidade
	
	
	Gabarito Coment.
	
	 
	
	 5a Questão
	
	
	
	
	Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e a internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados.
		
	
	Antivírus.
	
	Mailing.
	 
	Adware.
	 
	Firewall.
	
	Spyware.
	
	
	 
	
	 6a Questão
	
	
	
	
	Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus componentes ?
		
	
	Redes Não Confiáveis - Não possuem controle da administração.
	
	Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de proteção
	 
	Redes Não Confiáveis - Não é possível informar se necessitam de proteção.
	
	Redes Não Confiáveis - Não possuem políticas de segurança.
	 
	Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou não confiável.
	
	
	 
	
	 7a Questão
	
	
	
	
	Que cuidado deve ser tomado no armazenamento de fitas de backup fora da organização?
		
	
	O local de armazenamento deve estar protegido por guardas armados.
	
	O local de armazenamento deve ser de fácil acesso durante o expediente.
	
	O local de armazenamento deve estar a, no mínimo, 40 quilômetros da organização.
	 
	O local de armazenamento deve estar a, no mínimo, 25 quilômetros da organização.
	 
	O local de armazenamento deve estar protegido contra acessos não autorizados.
	
	
	 
	
	 8a Questão
	
	
	
	
	O fato de se poder conectar qualquer computador em qualquer lugar a qualquer outro computador pode torná- lo vulnerável. O recurso técnico para proteger essa conexão de dados é através de:
		
	
	Esteganografia
	
	Proxy
	
	PKI
	 
	Firewall
	
	Certificação digital
	1a Questão
	
	
	
	O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de:
		
	 
	confirmar a identidade do usuário.
	 
	confirmar que o formulário está sendo preenchido por um usuário humano e não por um computador.
	
	criptografar os dados enviados através do formulário para impedir que os mesmos sejam interceptados em curso.
	
	controlar a expiração da sessão do usuário, caso o mesmo possua cookies desabilitados em seu navegador.
	
	testar a aptidão visual do usuário para decidir sobre a folha de estilo CSS a ser utilizada nas páginas subseqüentes.
	
	
	 
	
	 2a Questão
	
	
	
	
	Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança?
		
	 
	em uma subrede interna protegida por um proxy
	
	ligado diretamente no roteador de borda
	
	na Zona Desmilitarizada (DMZ) suja
	 
	na Zona Desmilitarizada (DMZ) protegida
	
	na rede interna da organização
	
	
	 
	
	 3a Questão
	
	
	
	
	Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar :
		
	
	Um detector de intrusão
	 
	Um servidor proxy
	
	Um roteador de borda
	
	Um filtro de pacotes
	
	Um firewall com estado
	
	
	 
	
	 4a Questão
	
	
	
	
	Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança?
		
	 
	na rede interna da organização
	
	na Zona Demilitarizada (DMZ) protegida
	 
	na Zona Demilitarizada (DMZ) suja
	
	em uma subrede externa protegida por um proxy
	
	ligado diretamente no roteador de borda
	
	
	Gabarito Coment.
	
	 
	
	 5a Questão
	
	
	
	
	Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar a conexão ou não a um serviço em uma rede modo indireto ?
		
	
	Firewall com Estado
	
	Filtro com Pacotes
	
	Firewall Indireto
	 
	Firewall Proxy
	
	Firewall de Borda
	
	
	 
	
	 6a Questão
	
	
	
	
	Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida:
		
	
	A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos.
	
	A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos.
	 
	A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
	
	
	Gabarito Coment.
	
	 
	
	 7a Questão
	
	
	
	
	Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar:
		
	
	Um analisador de espectro de rede, para analisar o tráfego da rede
	 
	Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall
	
	Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede
	 
	Um detector de intrusão para realizar a análise do tráfego da rede
	
	Um firewall para auxiliar na análise do tráfego da rede
	
	
	Gabarito Coment.
	
	 
	
	 8a Questão
	
	
	
	
	Analise as seguintes afirmações relacionadas à Segurança da Informação e os objetivos do controle de acesso:
I. A disponibilidade é uma forma de controle de acesso que permite identificar os usuários legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado. 
II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente. 
III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que inspeciona uma rede de dentro para fora, identifica e avalia padrões suspeitos que podem identificar um ataque à rede e emite um alarme quando