Simulado ISO/IEC 27002:2013 2

Prévia do material em texto

Curso preparatório ISO/IEC 27002:2013 
Simulados Preparatórios 
 
 
 
 
 
 
 
 
 
 
 
 
Prof: Elton Morais 
 
 
	
1	-	Devido	ao	risco	de	tempestade	de	raios	a	empresa	resolveu	adotar	uma	estratégia.	Colocar	filtro	
de	 linha	e	no-break	para	não	 ter	o	 risco	de	dados	 corrompidos.	Que	 tipo	de	estratégia	a	empresa	
resolveu	adotar?	
A. Neutralizar	o	risco.	
B. Evitar	o	risco.	
C. Medida	repressiva.	
D. Carregar	o	risco.	
2	 -	Quem	são	os	 responsáveis	por	atribuir	 as	atividades	de	 cada	 funcionário	ao	entra	na	empresa,	
conforme	o	domínio	Segurança	dos	Recursos	Humanos?	
A. O	Recursos	Humanos.	
B. Gerente.	
C. O	Presidente.	
D. O	próprio	funcionário.	
3	-	Qual	das	afirmações	sobre	a	análise	de	risco	é	a	correta?	
1. Riscos	que	são	apresentados	em	uma	análise	de	risco	podem	ser	classificados.	
2. Numa	análise	de	risco	todos	os	detalhes	têm	que	ser	considerados.	
3. A	análise	de	risco	limita-se	à	disponibilidade.	
4. A	 análise	 de	 risco	 é	 simples	 de	 efetuar	 através	 do	 preenchimento	 de	 um	 pequeno	
questionário	padrão	com	perguntas	padrão.	
	
A. 4	
B. 3	
C. 1	
D. 2	
4	-	O	que	é	uma	informação	íntegra?	
A. Confidencial	
B. Sem	erros	
C. Pontual	
D. Privativo	
5	 -	 Há	 alguns	 anos	 você	 começou	 sua	 empresa,	 que	 já	 cresceu	 de	 1	 para	 20	 empregados.	 As	
informações	de	 sua	empresa	 valem	mais	 e	mais	 e	 já	passaram	os	dias	 em	que	você	podia	manter	
tudo	 em	 suas	 próprias	 mãos.	 Você	 está	 ciente	 de	 que	 precisa	 tomar	 medidas,	 mas	 quais?	 Você	
contrata	 um	 consultor,	 que	 o	 aconselha	 a	 começa	 uma	 análise	 de	 risco	 qualitativa.	 O	 que	 é	 uma	
análise	de	risco	qualitativa?	
A. Esta	 análise	 segue	um	cálculo	preciso	de	probabilidade	estatística	 a	 fim	de	 calcular	 a	 exata	
perda	causada	pelo	dano.	
B. Esta	 análise	 é	 baseada	 em	 cenários	 e	 situações	 e	 produz	 uma	 visão	 subjetiva	 de	 possíveis	
ameaças.	
6	-	Qual	das	seguintes	afirmações,	visando	disponibilidade,	é	falsa:	
A. Procedimento	de	emergência	são	criados	para	assegurar	que	as	atividades	recomecem	assim	
que	possível,	após	uma	ruptura	em	grande	escala.	
B. Os	sistemas	de	informação	estão	sempre	disponíveis.	
C. Não	há	capacidade	suficiente	para	permitir	que	todos	os	funcionários	trabalhem	nos	sistemas	
de	informação.	
D. A	gestão	e	armazenamento	de	dados	diminui	a	chance	de	perda	de	informações.	
7	-	Um	usuário	tenta	acessar	uma	pasta,	mas	não	tem	permissão	para	acessá-la.	Que	tipo	de	controle	
de	acesso	está	sendo	feito?	
A. Controle	de	acesso	obrigatório.	
B. Controle	de	acesso	discricionário.	
C. Controle	de	acesso	orientado.	
D. Controle	de	acesso	facultativo.	
8	-	Dos	seguintes	cargos	(papéis)	qual	está	relacionado	à	política	de	segurança	de	informação?	
A. Information	Security	Manager	(ISM).	
B. Information	Security	Officer	(ISO).	
C. Security	Policy	Officer.	
D. Data	Protection	Officer.	
9	-	Como	pode	uma	auditoria	afetar	negativamente	uma	organização,	se	esta	mesma	auditoria	é	para	
trazer	benefícios?	
A. Afeta	o	setor	de	TI.	
B. Afeta	a	capacidade	de	processamento	dos	computadores.	
C. Auditoria	traz	muitos	custos	à	empresa,	por	isso	se	faz	poucas	auditorias	por	ano.	
D. Não	afeta	de	forma	negativa	a	empresa.	
10	-	Qual	dos	exemplos	abaixo	pode	ser	classificado	como	fraude?	
1. Infectar	um	computador	com	um	vírus.	
2. Realização	de	uma	operação	não	autorizada.	
3. Divulgação	de	linha	de	comunicação	e	redes.	
4. Utilização	da	internet	no	trabalho	para	fins	privados.	
	
A. 2	
B. 4	
C. 3	
D. 1	
11	–	Quais	as	características	de	confidencialidade?	
A. Pontual	e	Contínuo	
B. Privativo	e	Restrito	
C. Seguro	e	Disponível	
D. Acessível	e	Protegido	
12	 -	 Houve	 um	 incêndio	 em	uma	 filial	 da	 companhia	Midwest	 Insurance.	Os	 bombeiros	 chegaram	
rapidamente	 ao	 local	 e	 puderam	 apagar	 o	 fogo	 antes	 que	 se	 espalhasse	 e	 queimasse	 toda	 a	
instalação.	O	servidor,	entretanto,	foi	destruído	pelo	fogo.	As	fitas	de	segurança	(backup)	mantidas	
em	outra	sala	derreteram	e	muitos	outros	documentos	foram	perdidos	definitivamente.	Qual	é	um	
exemplo	de	dano	indireto	causado	pelo	incêndio?	
A. Documentos	queimados	
B. Danos	provocados	pela	água	dos	extintores	de	incêndio	
C. Fitas	de	segurança	(backup)	derretidas	
D. Sistemas	de	computação	queimados	
13	-	Das	medidas	a	seguir,	qual	delas	visa	integridade	da	informação?	
A. Segregação	 entre	 ambientes	 de	 desenvolvimento,	 teste,	 homologação	 e	 ambiente	 de	
produção.	
B. Os	 procedimentos	 de	 backup	 são	 criados.	 Os	 requisitos	 legais	 quanto	 ao	 tempo	 de	
armazenamento	devem	ser	estabelecidos.	
C. Ações	em	sistemas	críticos,	por	exemplo,	na	 instalação	de	um	novo	software,	não	pode	ser	
realizada	por	apenas	uma	pessoa.	
D. Acesso	à	informação	é	concedido	com	base	na	necessidade.	
14	 -	 Referente	 a	 requisitos	 de	 segurança	 para	 sistema	 de	 informação,	 o	 que	 é	 necessário,	
inicialmente,	quando	a	empresa	considera	comprar	ou	desenvolver	um	sistema	de	informação?	
A. Business	case.	
B. Um	contrato	formal	com	o	fornecedor	indicado	as	exigências	que	a	segurança	do	produto	tem	
que	cumprir.	
C. Formulários	de	segurança	façam	parte	do	projeto.	
D. Um	teste	formal	deve	ser	seguido.	
15	-	Escolha	a	alternativa	verdadeira:	
A. Chief	Information	Security	Officer	está	no	mais	alto	nível	da	organização	e	desenvolvimento	a	
estratégia	geral	para	toda	a	empresa.	
B. Data	Protection	Officer	é	subordinado	ao	Information	Security	Officer	(ISO).	
C. Information	Security	Officer	não	desenvolve	a	política	de	uma	unidade	de	negócio	baseado	na	
política	da	empresa	e	também	não	é	o	seu	deve	mantê-la	atualizada.	
D. Security	Policy	Officer	é	responsável	pela	política	de	segurança	de	informação.	
	
16	-	Um	risco	possível	para	uma	empresa	é	o	dano	por	incêndio.	Se	essa	ameaça	ocorre,	isto	é,	se	um	
incêndio	 na	 verdade	 eclode,	 danos	 diretos	 e	 indiretos	 podem	 ocorrer.	 O	 que	 é	 um	 exmeplo	 de	
prejuízo	direto?	
A. Um	banco	de	dados	é	destruído.	
B. Perda	de	confiança	do	cliente	
C. Obrigações	legais	não	podem	mais	ser	satisfeitas	
D. Perda	de	imagem	
17	-	Qual	o	objetivo	da	análise	da	informação?	
A. Detectar	as	necessidades	dos	usuários	
B. Desenhar	o	workflow	da	empresa	
C. Saber	o	que	assegurar	
D. Projetar	o	sistema	de	informação	
18	-	Você	é	o	proprietário	de	uma	companhia	de	correio	(courier),	SpeedDelivery.	Você	realizou	uma	
análise	de	risco	e	agora	quer	determinar	sua	estratégia	de	risco.	Você	decide	tomar	medidas	contra	
os	grandes	riscos,	mas	não	contra	os	pequenos	riscos.	Como	é	chamada	a	estratégia	de	risco	adotada	
neste	caso?	
A. Retenção	de	risco	
B. Prevenção	de	risco	
C. Redução	de	risco	
19	–	Quais	destas	medidas	de	integridade	é	falsa?	
A. A	integridade	dos	dados	pode	ser	assegurada	através	de	técnicas	de	criptografia.	
B. Ações	dos	usuários	são	gravadas	e	servirá	como	registros	de	uma	mudança	de	informação.	
C. Criar	mecanismos	que	obriguem	as	pessoas	a	usarem	termos	corretos.	
D. Alterações	nos	sistemas	de	dados	não	são	autorizados.	
20	–	Ao	processar	as	informações	a	fim	de	simplificar	a	entrada	de	dados	é	necessária	uma	lista	de	
terminologia.	Por	qual	motivo?	
A. Para	validação	dos	dados	inseridos	no	sistema.	
B. Para	que	os	dados	sejam	verificados	de	forma	correta.	
C. Para	prevenir	que	mais	de	uma	palavra	seja	utilizada	para	um	único	termo.	
D. Para	evitar	o	uso	indevido	de	informações.		
21	–	As	salas	de	servidores	e	telefonia	exigem	cuidados	extras.	Identifique	a	alternativa	errada:	
A. Detectores	e	alarmes	contra	fumaça.	
B. Extintores	de	incêndio	à	base	de	espuma	para	rápida	extinção	do	foco	de	incêndio.	
C. Não	ter	embalagens	armazenadas	nessas	salas.	
D. Fitas	de	backup	não	devem	ser	armazenadas	na	sala	do	servidor.	
22	–	A	 fim	de	 reduzir	os	 riscos,	uma	empresa	decide	optar	por	uma	estratégia	de	um	conjunto	de	
medidas.	Uma	das	medidas	é	que	uma	acordo	stand-by	é	organizado	para	a	empresa.	A	que	tipo	de	
medidas	um	acordo	stand-by	pertence?	
A. Medidas	detectivas	
B. Medidas	corretivas	
C. Medidas	repressivasD. Medidas	preventivas	
23	–	Qual	dos	seguintes	não	é	um	processo	operacional	e	de	informações?	
A. Processo	de	apoio	
B. Processo	primário	
C. Processo	de	fabricação	
D. Processo	orientativo	
24	 -	 	 Você	 trabalha	no	escritório	de	uma	grande	 companhia.	Você	 recebe	um	 telefonema	de	uma	
pessoa	dizendo	ser	do	helpdesk.	Ela	pede	para	que	você	 lhe	dia	 sua	 senha.	Que	 tipo	de	ameaça	é	
esta?	
A. Ameaça	natual	
B. Ameaça	organizacional	
C. Engenharia	Social	
25	–	A	que	medidas	de	confidencialidade	se	refere	o	uso	de	uma	senha?	
A. No	 processamento	 e	 utilização	 dos	 dados,	 as	 medidas	 são	 tomadas	 para	 garantir	 a	
privacidade	das	pessoas	e	terceiros.	
B. Segregação	entre	ambientes	de	desenvolvimento,	homologação	e	ambiente	de	produção.	
C. Gerenciamento	de	acesso	lógico	para	garantir	que	as	pessoas	não	autorizadas	ou	os	processos	
não	tenha	acesso	aos	sistemas,	bases	de	dados	e	programas.	
D. O	 uso	 de	 computadores	 por	 usuários	 finais	 é	 cercado	 com	 medidas	 para	 que	 a	
confidencialidade	das	informações	seja	garantida.	
26	–	A	criptografia	é	uma	medida	que	a	organização	pode	empregar	se,	por	exemplo,	houver	dados	
confidenciais	envolvidos,	e	o	uso	da	criptografia	deve	ser	cuidadosamente	analisado	e	definido	em	
uma	política.	Das	seguintes	alternativas,	qual	não	é	necessário	estar	neste	documento?	
A. Para	que	a	organização	usa	a	criptografia.	
B. Controle.	
C. A	confidencialidade.	
D. Backup.	
27	–	A	que	se	refere	o	objeto?	
A. É	um	termo	de	programação.	
B. Objeto	é	o	ativo	mais	preciso	da	empresa.	
C. O	objeto	é	a	área	mais	sensível	que	tem	que	ser	protegido.	
D. São	as	fitas	de	backup	de	um	sistema.	
28	–	Qual	destas	seria	uma	ameaça	humana?	
A. Um	pen	drive	que	passa	vírus	para	a	rede.	
B. Um	vazamento	que	causa	uma	falha	no	fornecimento	de	eletricidade.	
C. Muito	pó	na	sala	do	servidor.	
29	–	Para	que	serve	um	mapeamento	de	risco?	
A. Para	detectar	ações	após	a	detecção	do	risco	acontecer.	
B. Para	levantar	as	causas	após	o	desastre.	
C. Para	evitar	que	o	dano	causado	por	um	risco	esteja	dentro	do	previsto.	
D. Para	se	evitar	as	ameaças.	
30	 –	 Um	 incêndio	 interrompe	 os	 trabalhos	 da	 filial	 de	 uma	 empresa	 de	 seguros	 de	 saúde.	 Os	
funcionários	são	transferidos	para	escritórios	vizinhos	para	continuar	seu	trabalho.	No	ciclo	de	vida	
do	incidente,	onde	são	encontrados	os	acordos	stand-by	(plano	de	contingência)?	
A. Entre	o	incidente	e	os	danos.	
B. Entre	a	ameaça	e	o	incidente.	
C. Entre	os	danos	e	a	recuperação.	
D. Entre	a	recuperação	e	a	ameaça.	
31	–	Como	é	feita	a	prestação	de	informações	dentro	de	uma	empresa?	
A. Reporte,	distribuição,	encaminhamento	e	disponibilização.	
B. Disponibilização,	distribuição,	reporte	e	encaminhamento.	
C. Reporte,	encaminhamento,	distribuição	e	disponibilização.	
D. Encaminhamento,	disponibilização,	reporte	e	distribuição.	
32	–	Assinale	a	afirmação	falsa:	
A. Os	 dados	 que	 são	 inseridos	 em	 aplicações	 devem	 ser	 validados	 de	 forma	 a	 assegurar	 que	
esteja	correto.	
B. Para	ser	capaz	de	fazer	uso	de	um	sistema	criptográfico,	o	remetente	e	o	destinatário	devem	
ter	um	algoritmo.	
C. Os	equipamentos	que	 são	utilizados	para	 gerar,	 armazenar	e	 arquivar	 as	 chaves	devem	ser	
protegidos	virtualmente.	
D. Uma	 característica	 do	 sistema	 simétrico	 é	 que	 existe	 um	 algoritmo	 e	 uma	 chave	 secreta	
compartilhada	entre	o	remetente	e	o	destinatário.	
33	–	Usando	a	criptografia	One-Way,	qual	a	sua	maior	desvantagem?	
A. Não	garante	a	integridade	da	mensagem.	
B. Não	garante	a	disponibilidade	da	mensagem.	
C. A	criptografia	One-Way	é	segura.	
D. Não	garante	a	confidencialidade	de	mensagem.	
34	–	O	que	é	um	exemplo	de	uma	ameaça	humana?	
A. Fogo.	
B. Phishing.	
C. Um	apagão.	
35	–	Qual	é	o	fluxo	contínuo	do	gerenciamento	de	riscos?	
A. Disponibilizar,	assegurar	e	confidencializar.	
B. Planejar,	executar	e	corrigir.	
C. Identificar,	examinar	e	reduzir.	
D. Planeja,	executar	e	verificar.	
36	–	Um	funcionário	nega	o	envio	de	uma	mensagem	específica.	Qual	o	aspecto	de	confiabilidade	da	
informação	está	em	risco	aqui?	
A. Integridade.	
B. Exatidão.	
C. Disponibilidade.	
D. Confidencialidade.	
37	–	Em	que	processos	operacionais	se	aplicam	o	processo	de	gestão	de	riscos?	
A. Processo	e	saída.	
B. Todos.	
C. Entrada	e	processo.	
D. Entrada.	
38	–	Existem	três	 formas	de	algoritmos	de	criptografia.	Qual	destas	 formas	não	é	um	algoritmo	de	
criptografia?	
A. Algoritmo	assimétrico.	
B. Algoritmo	paralelo.	
C. Algoritmo	simétrico.	
D. Caminho	único	(one	way).	
39	–	Ao	se	tratar	de	códigos	fonte	do	programa,	que	cuidado	é	essencial	ter?	
A. Tomar	medidas	de	segurança	física	para	proteger	o	código	fonte.	
B. Usar	criptografia	para	proteger	o	código	fonte.	
C. Limitar	o	acesso	só	a	quem	tem	real	necessidade	de	acesso.	
D. Ter	o	código	armazenado	em	vários	locais.	
40	–	A	confiabilidade	é	constantemente	ameaçada.	Exemplo	de	ameaças	são:	Um	cabo	se	soltar,	a	
informação	 que	 alguém	 altera	 por	 acidente,	 dados	 que	 são	 usados	 para	 fins	 particulares	 ou	
falsificados.	Qual	destes	exemplos	é	uma	ameaça	à	confidencialidade?	
A. Exclusão	acidental	de	dados.	
B. Utilização	privada	de	dados.	
C. Falsificação	de	dados	
D. Um	cabo	solto.