Baixe o app para aproveitar ainda mais
Prévia do material em texto
SEGURANÇA EM CLOUD COMPUTING 1) Norma que trata da implementação operacionalização, monitoração, revisão, manutenção e melhoria de um SGSI: a) ISO 27001 c) ISO 27003 e) ISO 27005 b) ISO 27002 d) ISO 27004 Resposta: A implementação de um sistema de gestão da segurança da informação é realizada através da norma ISO 27001. 2) Técnica utilizada pela norma ISO 27001 para a implementação de um sistema de gestão de segurança da informação: a) PDCA c) CMMI e) 3W5H b) HIPAA d) SISP Resposta: A auditoria não faz parte do ciclo de vida da informação. 3) Existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: a) Sistema de Gestão de Segurança da Informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI. b) Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas. c) Sistema de Gestão de Segurança da Informação, análise de risco, auditorias internas e melhoria do SGSI. d) Responsabilidade da direção, auditorias internas, controle de registros, Sistema de Gestão de Segurança da Informação. e) Sistema de Gestão de Segurança da Informação, classificação da informação, auditoria internas e análise de risco. Resposta: Sistema de Gestão de Segurança da Informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI são ações essenciais e estruturantes para a implementação de um sistema de gestão em empresas de qualquer tamanho. 4) Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação? a) Suporte Técnico. d) Conscientização dos usuários. b) Auditoria. e) Procedimentos elaborados. c) Segregação de funções. Resposta: Sem a conscientização dos usuários, as ações de segurança da informação podem não alcançar os objetivos pretendidos, pois será necessária a compreensão de todos nas ações de segurança na organização. 5) João trabalha na equipe de gestão de risco da empresa XPTO e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso, como denominamos este tipo de risco? a) Risco verdadeiro. c) Risco real. e) Risco residual. b) Risco percebido. d) Risco tratado. Resposta: É a porção do risco que não conseguimos eliminar. 6) Existe uma série de benefícios na implementação da Gestão de Risco em uma organização. Analise as questões a seguir e identifique a opção que NÃO representa um benefício: a) Melhorar a efetividade das decisões para controlar os riscos. b) Eliminar os riscos completamente e não precisar mais tratá-los. c) Melhorar a eficácia no controle de riscos. d) Manter a reputação e imagem da organização. e) Entender os riscos associados ao negócio e a gestão da informação. Resposta: Vimos em nossas aulas que existe uma porção do risco, denominada risco residual, que ainda existirá mesmo depois de tratarmos um risco. 7) Você trabalha na equipe de segurança de sua empresa e recebeu um estagiário para trabalhar na equipe. Ao chegar ele perguntou o conceito de risco. Você prontamente respondeu que Risco é: a) Probabilidade de uma ameaça explorar uma vulnerabilidade. b) Probabilidade de um incidente ocorrer mais vezes. c) Probabilidade de uma ameaça explorar um incidente. d) Probabilidade de um ativo explorar uma ameaça. e) Probabilidade de um ativo explorar uma vulnerabilidade. Resposta: Risco é a probabilidade de uma ameaça explorar uma vulnerabilidade. 8) João trabalha na área de gestão de risco da empresa Zanfas e verificou que o custo de proteção contra um determinado risco está muito além das possibilidades da organização e, portanto, não vale a pena tratá-lo. Nesse caso, João: a) Aceita o risco. c) Ignora o risco. e) Trata o risco a qualquer custo. b) Rejeita o risco. d) Comunica o risco. Resposta: Aceitar um risco também é uma forma de tratá-lo. 9) Norma que tem como principal objetivo estabelecer orientações para Gestão de Riscos: a) ISO 27001 c) ISO 27002 e) ISO 27005 b) ISO 27033 d) ISO 27799 Resposta: A gestão de risco é parte estruturante da implementação da segurança da informação nas organizações. 10) Norma que tem como principal objetivo estabelecer, implementar e operar um Sistema de gestão de Segurança da Informação (SGSI): a) ISO 27001 c) ISO 27002 e) ISO 27005 b) ISO 27006 d) ISO 27004 Resposta: O SGSI auxilia as organizações a terem uma forma sistêmica para o estabelecimento, implementação e operação das ações em segurança da informação. 11) Norma que tem como objetivo fornecer diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles: a) ISO 27001 c) ISO 27002 e) ISO 27005 b) ISO 27006 d) ISO 27004 Resposta: A norma ISO 27002 é o código de melhores práticas para a gestão de segurança da informação. 12) Norma que fornece orientação sobre conceitos e princípios para a governança de segurança da informação, pela qual as organizações podem avaliar, dirigir, monitorar e comunicar as atividades relacionadas com a segurança da informação dentro da organização. a) ISO 27009 c) ISO 27011 e) ISO 27033 b) ISO 27014 d) ISO 27799 Resposta: Os objetivos da Governança da Segurança da Informação (GSI) são: alinhar os objetivos e a estratégia da Segurança da Informação com os objetivos e estratégia do negócio da organização, agregar valor para a alta direção e para as partes interessadas (entrega de valor) e garantir que os riscos da informação estão sendo adequadamente endereçados para as pessoas responsáveis. 13) Na segurança física o primeiro tipo de controle que deve ser feito é _________________ . Esta é a primeira barreira que deve ser estabelecida. a) O controle de acesso. c) O leitor biométrico. e) A trava de proteção. b) A leitura de cartão. d) O man trap. Resposta: É através do controle de acesso que a organização sabe quem deve ter acesso ou não deve ter acesso na empresa. 14) Caracteriza-se por auxiliar na identificação, coibição e captura de invasores. Neste mecanismo somente uma pessoa pode ficar na área chamada de __________________. a) Controle de acesso. c) Man Trap. e) Área biométrica. b) Sistema de vigilância eletrônico. d) Portão eletrônico. Resposta: A ideia é identificar a pessoa que está requerendo acesso físico às dependências internas de forma controlada. 15) Na implantação da Gestão de Continuidade de Negócios, é importante que a GCN esteja no nível mais alto da organização para garantir que: a) As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas. b) As metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas. c) As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas. d) As metas e objetivos definidos sejam comprometidos por interrupções inesperadas. e) As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas. Resposta: Na implantação da Gestão de Continuidade de Negócios, é importante que a GCN esteja no nível mais alto da organização para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas e garantir, dessa forma, o sucesso da implantação. 16) A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. Na adoção dessas medidas quais fatores deverão ser levado em consideração? a) O período máximo de interrupção tolerável da atividade crítica, os custos de implementação de cada estratégia e as consequências de não se tomar uma ação. b) O período máximo de interrupçãotolerável da atividade crítica, a realização de auditoria e implementação de redundância. c) Custos de implementação de cada estratégia, as consequências de não se tomar uma ação e a realização de auditoria. d) As consequências de não se tomar uma ação, a realização de auditoria e implementação de redundância. e) Custos de implementação de cada estratégia, as consequências de não se tomar uma ação e a implementação de redundância. Resposta: Essas informações são necessárias para que a organização possa compreender e identificar os requisitos para a elaboração do plano de continuidade de negócio. 17) Qual dos métodos de criptografia a seguir utiliza chave privada e pública? a) Simétrica c) Composta e) Quântica b) Assimétrica d) Criptoanálise Resposta: A criptografia assimétrica utiliza o conceito de duas chaves diferentes para criptografar e decriptografar os dados. 18) Qual a técnica de criptografia que utiliza um processo matemático sobre uma mensagem, originando um valor numérico que é utilizado para medir a integridade dos dados? a) RSA c) UDP e) 3DES b) Hash d) PGP Resposta: As funções Hash são vastamente utilizadas no meio computacional, seja no armazenamento de senhas como também no processo de verificação de autenticidade. 19) __________________________ valida a autenticidade da pessoa que assina um documento, bem como a integridade dos dados contidos no documento. a) A assinatura digital c) O bit de paridade e) A criptografia quântica b) A esteganografia d) A criptoanálise Resposta: Quando falamos de criptografia, é a assinatura digital o método de autenticação de informação que é tratado como substituto à assinatura física, quando não existe a necessidade de ter uma versão em papel dos documentos. 20) Qual dos tipos de codificação a seguir é baseado na inclusão de mensagens ocultas em figuras? a) Transposição c) Embaralhamento e) Inclusão b) Substituição d) Esteganografia Resposta: A técnica de transposição utiliza os bits menos significativos de uma imagem para incluir bits correspondentes a uma parte de mensagem. 21) Qual o ataque que tenta forjar um IP de um host de uma rede da qual não faz parte? a) TCP SYN c) Ip Spoofing e) SQL Injection b) Man in the Middle d) Null Session Resposta: No ataque de IP Spoofing, o atacante troca o Ip de origem do cabeçalho IP para parecer que o pacote está vindo de uma origem diferente. 22) O ataque _______________________ caracteriza-se por atuar diretamente através da captura de dados entre dois pontos de transmissão. a) TCP SYN c) Ip Spoofing e) SQL Injection b) Man in the Middle d) Null Session Resposta: No ataque Man in the Middle, o atacante se coloca no meio da transmissão. 23) O ataque ____________ têm como finalidade principal parar o serviço de um host de destino. a) TCP SYN c) Ip Spoofing e) SQL Injection b) DDoS d) Null Session Resposta: O ataque DDoS tem como objetivo de tornar os serviços da máquina-alvo indisponível. 24) Qual o estado de uma porta TCP durante o ataque TCP SYN? a) SYN_WAIT c) LISTENING e) SYN_END b) SYN_RECV d) WAITING Resposta: O “ataque SYN” (chamado igualmente “TCP/SYN Flooding”) é um ataque de rede por saturação (recusa de serviço) que explora o mecanismo de Three ways Handshake do protocolo TCP. O estado SYN_RECV significa que uma requisição de conexão foi recebida da rede. 25) Modelo de controle de acesso em que um usuário não pode ter um acesso de leitura a uma informação que tenha o nível de classificação mais alto do que o nível de permissão deste usuário e também não pode escrever em uma informação que tenha o nível de classificação inferior ao nível de permissão do usuário: a) BIBA c) Bell La Padula e) Fluxo de informação b) TADACS d) Clark-Wilson Resposta: Modelo de controle de acesso em que é determinado o controle de acesso a informações, sejam elas classificadas ou não. Neste modelo, um usuário não pode ter um acesso de leitura a uma informação que tenha o nível de classificação mais alto do que o seu nível de permissão e não pode escrever em uma informação que tenha nível de classificação inferior ao seu nível de permissão. 26) Neste modelo de controle de acesso o usuário pode ter um acesso de escrita a uma informação que tenha o nível de classificação mais alto do que o nível de permissão do usuário e também não poder ler em uma informação que tenha o nível de classificação inferior ao nível de permissão do usuário. a) BIBA c) Bell La Padula e) Fluxo de informação b) TADACS d) Clark-Wilson Resposta: Modelo de controle de acesso onde é determinado o controle de acesso a informações sejam elas classificadas ou não. Neste modelo, o usuário não pode ter um acesso de escrita a uma informação que tenha o nível de classificação mais alto do que o nível de permissão do usuário e também não poder ler em uma informação que tenha o nível de classificação inferior ao nível de permissão do usuário. 27) Modelo de controle de acesso baseado na premissa de integridade da informação. Neste modelo o usuário não pode ter acesso direto à informação, neste caso ele precisa acessar a informação através de uma aplicação que valide o usuário e avalie o nível de segurança requerido pela informação: a) BIBA c) Bell La Padula e) Fluxo de informação b) TADACS d) Clark-Wilson Resposta: Modelo de controle de acesso em que é determinado o controle de acesso a informações, sejam elas classificadas ou não. Neste modelo, o usuário não pode ter acesso direto à informação, ele precisa acessar a informação através de uma aplicação que valide o usuário e avalie o nível de segurança requerido pela informação. 28) Modelo em que o administrador do sistema é responsável por atribuir as devidas permissões para os usuários. a) Controle de acesso Mandatório. d) Controle de acesso baseado em Regras. b) Controle de acesso Discricionário. e) Controle Lógico. c) Controle de acesso baseado em Cargo. Resposta: O controle de acesso é a forma com que uma empresa controlará o uso de recursos de uma forma geral. Os modelos de controle estão divididos em: Controle de acesso Mandatório, Controle de acesso Discricionário, controle de acesso baseado em Cargo, Controle de acesso baseado em Regras. 29) O GRC é a integração no âmbito organizacional de três grandes ações: a) Gestão, risco e conformidade. b) Gerência, risco e conformidade. c) Governança, gestão de risco e compliance. d) Gestão de TI, Risco de TI e conformidade de TI. e) Governança corporativa, risco de TI e conformidade. Resposta: Falhas nas áreas de Governança, Gestão de Riscos e Conformidade podem comprometer o valor de mercado e o lucro das empresas. 30) Disciplina do GRC que preocupa-se com os caminhos e estratégias que a organização deve seguir: a) Governança c) Compliance e) Análise de risco b) Gestão d) Conformidade Resposta: A governança (corporativa e de TI), visa criar um melhor entendimento das necessidades das empresas, facilitando a identificação de quais devem ser os objetivos de Tecnologia da Informação e Segurança da Informação para que essas áreas estejam alinhadas aos objetivos da alta gestão. 31) Disciplina do GRC que preocupa-se em fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa: a) Governança c) Compliance e) Análise de risco b) Gestão d) Conformidade Resposta: A conformidade ou compliance tem como principal objetivo auxiliar a organização no cumprimento das normas legais e regulamentares, das políticas e das diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa. 32) Ação fundamental para o GRC e considerada o ponto de partida para a implementação do Compliancenas organizações: a) Conscientização da organização em SI. d) Auditoria periódica. b) Análise de risco. e) Continuidade de negócio. c) Classificação da informação. Resposta: O diagnóstico de risco é o ponto de partida para as organizações, pois será a partir dessa análise que ocorrerá a implantação de controles internos para o monitoramento e gerenciamento desses riscos.
Compartilhar