Baixe o app para aproveitar ainda mais
Prévia do material em texto
Curso preparatório ISO/IEC 27002:2013 Simulados Preparatórios Prof: Elton Morais 1 - Devido ao risco de tempestade de raios a empresa resolveu adotar uma estratégia. Colocar filtro de linha e no-break para não ter o risco de dados corrompidos. Que tipo de estratégia a empresa resolveu adotar? A. Neutralizar o risco. B. Evitar o risco. C. Medida repressiva. D. Carregar o risco. 2 - Quem são os responsáveis por atribuir as atividades de cada funcionário ao entra na empresa, conforme o domínio Segurança dos Recursos Humanos? A. O Recursos Humanos. B. Gerente. C. O Presidente. D. O próprio funcionário. 3 - Qual das afirmações sobre a análise de risco é a correta? 1. Riscos que são apresentados em uma análise de risco podem ser classificados. 2. Numa análise de risco todos os detalhes têm que ser considerados. 3. A análise de risco limita-se à disponibilidade. 4. A análise de risco é simples de efetuar através do preenchimento de um pequeno questionário padrão com perguntas padrão. A. 4 B. 3 C. 1 D. 2 4 - O que é uma informação íntegra? A. Confidencial B. Sem erros C. Pontual D. Privativo 5 - Há alguns anos você começou sua empresa, que já cresceu de 1 para 20 empregados. As informações de sua empresa valem mais e mais e já passaram os dias em que você podia manter tudo em suas próprias mãos. Você está ciente de que precisa tomar medidas, mas quais? Você contrata um consultor, que o aconselha a começa uma análise de risco qualitativa. O que é uma análise de risco qualitativa? A. Esta análise segue um cálculo preciso de probabilidade estatística a fim de calcular a exata perda causada pelo dano. B. Esta análise é baseada em cenários e situações e produz uma visão subjetiva de possíveis ameaças. 6 - Qual das seguintes afirmações, visando disponibilidade, é falsa: A. Procedimento de emergência são criados para assegurar que as atividades recomecem assim que possível, após uma ruptura em grande escala. B. Os sistemas de informação estão sempre disponíveis. C. Não há capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de informação. D. A gestão e armazenamento de dados diminui a chance de perda de informações. 7 - Um usuário tenta acessar uma pasta, mas não tem permissão para acessá-la. Que tipo de controle de acesso está sendo feito? A. Controle de acesso obrigatório. B. Controle de acesso discricionário. C. Controle de acesso orientado. D. Controle de acesso facultativo. 8 - Dos seguintes cargos (papéis) qual está relacionado à política de segurança de informação? A. Information Security Manager (ISM). B. Information Security Officer (ISO). C. Security Policy Officer. D. Data Protection Officer. 9 - Como pode uma auditoria afetar negativamente uma organização, se esta mesma auditoria é para trazer benefícios? A. Afeta o setor de TI. B. Afeta a capacidade de processamento dos computadores. C. Auditoria traz muitos custos à empresa, por isso se faz poucas auditorias por ano. D. Não afeta de forma negativa a empresa. 10 - Qual dos exemplos abaixo pode ser classificado como fraude? 1. Infectar um computador com um vírus. 2. Realização de uma operação não autorizada. 3. Divulgação de linha de comunicação e redes. 4. Utilização da internet no trabalho para fins privados. A. 2 B. 4 C. 3 D. 1 11 – Quais as características de confidencialidade? A. Pontual e Contínuo B. Privativo e Restrito C. Seguro e Disponível D. Acessível e Protegido 12 - Houve um incêndio em uma filial da companhia Midwest Insurance. Os bombeiros chegaram rapidamente ao local e puderam apagar o fogo antes que se espalhasse e queimasse toda a instalação. O servidor, entretanto, foi destruído pelo fogo. As fitas de segurança (backup) mantidas em outra sala derreteram e muitos outros documentos foram perdidos definitivamente. Qual é um exemplo de dano indireto causado pelo incêndio? A. Documentos queimados B. Danos provocados pela água dos extintores de incêndio C. Fitas de segurança (backup) derretidas D. Sistemas de computação queimados 13 - Das medidas a seguir, qual delas visa integridade da informação? A. Segregação entre ambientes de desenvolvimento, teste, homologação e ambiente de produção. B. Os procedimentos de backup são criados. Os requisitos legais quanto ao tempo de armazenamento devem ser estabelecidos. C. Ações em sistemas críticos, por exemplo, na instalação de um novo software, não pode ser realizada por apenas uma pessoa. D. Acesso à informação é concedido com base na necessidade. 14 - Referente a requisitos de segurança para sistema de informação, o que é necessário, inicialmente, quando a empresa considera comprar ou desenvolver um sistema de informação? A. Business case. B. Um contrato formal com o fornecedor indicado as exigências que a segurança do produto tem que cumprir. C. Formulários de segurança façam parte do projeto. D. Um teste formal deve ser seguido. 15 - Escolha a alternativa verdadeira: A. Chief Information Security Officer está no mais alto nível da organização e desenvolvimento a estratégia geral para toda a empresa. B. Data Protection Officer é subordinado ao Information Security Officer (ISO). C. Information Security Officer não desenvolve a política de uma unidade de negócio baseado na política da empresa e também não é o seu deve mantê-la atualizada. D. Security Policy Officer é responsável pela política de segurança de informação. 16 - Um risco possível para uma empresa é o dano por incêndio. Se essa ameaça ocorre, isto é, se um incêndio na verdade eclode, danos diretos e indiretos podem ocorrer. O que é um exmeplo de prejuízo direto? A. Um banco de dados é destruído. B. Perda de confiança do cliente C. Obrigações legais não podem mais ser satisfeitas D. Perda de imagem 17 - Qual o objetivo da análise da informação? A. Detectar as necessidades dos usuários B. Desenhar o workflow da empresa C. Saber o que assegurar D. Projetar o sistema de informação 18 - Você é o proprietário de uma companhia de correio (courier), SpeedDelivery. Você realizou uma análise de risco e agora quer determinar sua estratégia de risco. Você decide tomar medidas contra os grandes riscos, mas não contra os pequenos riscos. Como é chamada a estratégia de risco adotada neste caso? A. Retenção de risco B. Prevenção de risco C. Redução de risco 19 – Quais destas medidas de integridade é falsa? A. A integridade dos dados pode ser assegurada através de técnicas de criptografia. B. Ações dos usuários são gravadas e servirá como registros de uma mudança de informação. C. Criar mecanismos que obriguem as pessoas a usarem termos corretos. D. Alterações nos sistemas de dados não são autorizados. 20 – Ao processar as informações a fim de simplificar a entrada de dados é necessária uma lista de terminologia. Por qual motivo? A. Para validação dos dados inseridos no sistema. B. Para que os dados sejam verificados de forma correta. C. Para prevenir que mais de uma palavra seja utilizada para um único termo. D. Para evitar o uso indevido de informações. 21 – As salas de servidores e telefonia exigem cuidados extras. Identifique a alternativa errada: A. Detectores e alarmes contra fumaça. B. Extintores de incêndio à base de espuma para rápida extinção do foco de incêndio. C. Não ter embalagens armazenadas nessas salas. D. Fitas de backup não devem ser armazenadas na sala do servidor. 22 – A fim de reduzir os riscos, uma empresa decide optar por uma estratégia de um conjunto de medidas. Uma das medidas é que uma acordo stand-by é organizado para a empresa. A que tipo de medidas um acordo stand-by pertence? A. Medidas detectivas B. Medidas corretivas C. Medidas repressivasD. Medidas preventivas 23 – Qual dos seguintes não é um processo operacional e de informações? A. Processo de apoio B. Processo primário C. Processo de fabricação D. Processo orientativo 24 - Você trabalha no escritório de uma grande companhia. Você recebe um telefonema de uma pessoa dizendo ser do helpdesk. Ela pede para que você lhe dia sua senha. Que tipo de ameaça é esta? A. Ameaça natual B. Ameaça organizacional C. Engenharia Social 25 – A que medidas de confidencialidade se refere o uso de uma senha? A. No processamento e utilização dos dados, as medidas são tomadas para garantir a privacidade das pessoas e terceiros. B. Segregação entre ambientes de desenvolvimento, homologação e ambiente de produção. C. Gerenciamento de acesso lógico para garantir que as pessoas não autorizadas ou os processos não tenha acesso aos sistemas, bases de dados e programas. D. O uso de computadores por usuários finais é cercado com medidas para que a confidencialidade das informações seja garantida. 26 – A criptografia é uma medida que a organização pode empregar se, por exemplo, houver dados confidenciais envolvidos, e o uso da criptografia deve ser cuidadosamente analisado e definido em uma política. Das seguintes alternativas, qual não é necessário estar neste documento? A. Para que a organização usa a criptografia. B. Controle. C. A confidencialidade. D. Backup. 27 – A que se refere o objeto? A. É um termo de programação. B. Objeto é o ativo mais preciso da empresa. C. O objeto é a área mais sensível que tem que ser protegido. D. São as fitas de backup de um sistema. 28 – Qual destas seria uma ameaça humana? A. Um pen drive que passa vírus para a rede. B. Um vazamento que causa uma falha no fornecimento de eletricidade. C. Muito pó na sala do servidor. 29 – Para que serve um mapeamento de risco? A. Para detectar ações após a detecção do risco acontecer. B. Para levantar as causas após o desastre. C. Para evitar que o dano causado por um risco esteja dentro do previsto. D. Para se evitar as ameaças. 30 – Um incêndio interrompe os trabalhos da filial de uma empresa de seguros de saúde. Os funcionários são transferidos para escritórios vizinhos para continuar seu trabalho. No ciclo de vida do incidente, onde são encontrados os acordos stand-by (plano de contingência)? A. Entre o incidente e os danos. B. Entre a ameaça e o incidente. C. Entre os danos e a recuperação. D. Entre a recuperação e a ameaça. 31 – Como é feita a prestação de informações dentro de uma empresa? A. Reporte, distribuição, encaminhamento e disponibilização. B. Disponibilização, distribuição, reporte e encaminhamento. C. Reporte, encaminhamento, distribuição e disponibilização. D. Encaminhamento, disponibilização, reporte e distribuição. 32 – Assinale a afirmação falsa: A. Os dados que são inseridos em aplicações devem ser validados de forma a assegurar que esteja correto. B. Para ser capaz de fazer uso de um sistema criptográfico, o remetente e o destinatário devem ter um algoritmo. C. Os equipamentos que são utilizados para gerar, armazenar e arquivar as chaves devem ser protegidos virtualmente. D. Uma característica do sistema simétrico é que existe um algoritmo e uma chave secreta compartilhada entre o remetente e o destinatário. 33 – Usando a criptografia One-Way, qual a sua maior desvantagem? A. Não garante a integridade da mensagem. B. Não garante a disponibilidade da mensagem. C. A criptografia One-Way é segura. D. Não garante a confidencialidade de mensagem. 34 – O que é um exemplo de uma ameaça humana? A. Fogo. B. Phishing. C. Um apagão. 35 – Qual é o fluxo contínuo do gerenciamento de riscos? A. Disponibilizar, assegurar e confidencializar. B. Planejar, executar e corrigir. C. Identificar, examinar e reduzir. D. Planeja, executar e verificar. 36 – Um funcionário nega o envio de uma mensagem específica. Qual o aspecto de confiabilidade da informação está em risco aqui? A. Integridade. B. Exatidão. C. Disponibilidade. D. Confidencialidade. 37 – Em que processos operacionais se aplicam o processo de gestão de riscos? A. Processo e saída. B. Todos. C. Entrada e processo. D. Entrada. 38 – Existem três formas de algoritmos de criptografia. Qual destas formas não é um algoritmo de criptografia? A. Algoritmo assimétrico. B. Algoritmo paralelo. C. Algoritmo simétrico. D. Caminho único (one way). 39 – Ao se tratar de códigos fonte do programa, que cuidado é essencial ter? A. Tomar medidas de segurança física para proteger o código fonte. B. Usar criptografia para proteger o código fonte. C. Limitar o acesso só a quem tem real necessidade de acesso. D. Ter o código armazenado em vários locais. 40 – A confiabilidade é constantemente ameaçada. Exemplo de ameaças são: Um cabo se soltar, a informação que alguém altera por acidente, dados que são usados para fins particulares ou falsificados. Qual destes exemplos é uma ameaça à confidencialidade? A. Exclusão acidental de dados. B. Utilização privada de dados. C. Falsificação de dados D. Um cabo solto.
Compartilhar