GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
1a aula Lupa 
Exercício: CCT0761_EX_A1_ 03/03/2021 
Aluno(a): M 2021.1 EAD 
Disciplina: CCT0761 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO 2 
1 
 Questão 
A informação pode ser classificada em níveis de prioridade dentro da organização, conforme segue: 
I. Informação pública: deveria ter o livre acesso evitado, embora não haja consequências
prejudiciais/sérias do acesso e uso não autorizado. A integridade deste tipo de informação é
importante, porém não vital.
II. Informação Interna: pode vir ao público sem consequências prejudiciais ao funcionamento
normal da empresa e cuja integridade não é vital.
III. Informação Confidencial: é restrita aos limites da empresa e cuja divulgação ou perda pode
acarretar em desequilíbrio operacional e, eventualmente, a perdas financeiras ou de confiabilidade
perante o cliente externo.
IV. Informação Secreta: muito crítica para as atividades da empresa e cuja integridade deve ser
preservada a qualquer custo. O acesso deve ser restrito, e a segurança deste tipo de informação é
crucial/vital para a empresa.
Após a leitura, assinale a alternativa correta sobre as asserções supracitadas: 
Somente as asserções II e IV estão corretas 
Somente as asserções III e IV estão corretas 
Somente as asserções I e II estão corretas 
Somente as asserções I e III estão corretas 
Somente as asserções I, II e III estão corretas 
Respondido em 05/03/2021 09:45:28 
Explicação: 
 Informação pública: Informação que pode vir ao público sem consequências prejudiciais
ao funcionamento normal da empresa e cuja integridade não é vital;
 Informação Interna: Informação que deveria ter o livre acesso evitado, embora não haja
consequências prejudiciais/sérias do acesso e uso não autorizado. A integridade deste tipo
de informação é importante, porém não vital;
 Informação Confidencial: Informação que é restrita aos limites da empresa e cuja
divulgação ou perda pode acarretar em desequilíbrio operacional e, eventualmente, a
perdas financeiras ou de confiabilidade perante o cliente externo;
 Informação Secreta: Informação muito crítica para as atividades da empresa e cuja
integridade deve ser preservada a qualquer custo. O acesso deve ser restrito, e a
segurança deste tipo de informação é crucial/vital para a empresa.

javascript:diminui();
javascript:aumenta();
2 
 Questão 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções 
abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das 
empresas e organizações? 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; 
Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; 
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; 
Respondido em 05/03/2021 09:45:34 
3 
 Questão 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado 
grupo de usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e 
imediatas, em um determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa 
o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la.
Neste caso houve uma falha na segurança da informação para este sistema na propriedade
relacionada à:
Confidencialidade 
Auditoria 
Integridade 
Privacidade 
Disponibilidade 
Respondido em 05/03/2021 09:45:42 
4 
 Questão 
Em relação a segurança da informação análise as seguintes afirmações: 
I. "A segurança da informação tem a função de minimizar os riscos da organização em relação à
dependência do uso dos recursos de informação para o funcionamento da mesma"
II. "Sem a informação ou com uma incorreta, as empresas podem ter perdas que comprometam o
seu funcionamento e o retorno de investimento dos acionistas."
III. "Segurança da informação é o conjunto de orientações, normas, procedimentos, políticas e
demais ações que tem por objetivo proteger o recurso informação, possibilitando que o negócio da
organização seja realizado e a sua missão seja alcançada".
Assinale a opção que contenha as afirmações corretas: 
II e III 
Nenhuma 
I e II 
I, II e III 
I 
Respondido em 05/03/2021 09:45:46 
Explicação: 
Todas as afirmativas estão corretas 
5 
 Questão 
As informações devem cumprir alguns requisitos, dentre os quais: 
I. Autenticação: refere-se a proteger a informação de ser lida ou copiada por qualquer um que não
está explicitamente autorizado pelo proprietário da informação
II. Confidencialidade: irá definir que as partes envolvidas na comunicação sejam autenticadas, a
fim de garantir que cada uma delas seja realmente quem diz ser
III. Consistência: assegura que o sistema comporta-se como esperado pelos usuários autorizados.
Se o software ou hardware repentinamente começa a se comportar de maneira radicalmente
diferente daquele que se costuma comportar, especialmente após uma atualização ou a reparação
de um erro, pode ocorrer um "desastre"
IV. Disponibilidade: irá definir que as informações devidas estarão disponíveis para seus respectivos 
usuários. Aqui cabe uma ressalva: para garantir esta disponibilidade da informação somente para o
usuário devido, deve-se implementar controles de acesso, a fim de conter usuários não autorizados
Após a leitura das asserções, assinale a alternativa correta. 
Somente as asserções I, II e IV estão corretas 
Somente as asserções II, III e IV estão corretas 
Somente as asserções III e IV estão corretas 
Somente as asserções I, II e III estão corretas 
Somente as asserções I e II estão corretas 
Respondido em 05/03/2021 09:45:53 
Explicação: 
Autenticação: irá definir que as partes envolvidas na comunicação sejam autenticadas, a fim de 
garantir que cada uma delas seja realmente quem diz ser 
Confidencialidade:refere-se a proteger a informação de ser lida ou copiada por qualquer um que 
não está explicitamente autorizado pelo proprietário da informação 
Consistência: assegura que o sistema comporta-se como esperado pelos usuários autorizados. Se o 
software ou hardware repentinamente começa a se comportar de maneira radicalmente diferente 
daquele que se costuma comportar, especialmente após uma atualização ou a reparação de um 
erro, pode ocorrer um "desastre" 
Disponibilidade: irá definir que as informações devidas estarão disponíveis para seus respectivos 
usuários. Aqui cabe uma ressalva: para garantir esta disponibilidade da informação somente para o 
usuário devido, deve-se implementar controles de acesso, a fim de conter usuários não autorizados 
6 
 Questão 
A segurança da informação diz respeito à proteção de determinados dados, com a intenção de 
preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas 
propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor este 
princípio: 
Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, 
sistemas ou processos. 
Esta propriedade indica que os dados e informações não deveriam ser alterados ou 
destruídos de maneira não autorizada e aprovada. 
Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, 
entidades, sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de 
cancelamento posterior. 
Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser 
sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado. 
Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar 
disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não 
autorizados e aprovados. 
Respondido em 05/03/2021 09:45:58 
7 
 Questão 
No contexto da segurançada informação as proteções são medidas que visam livrar os ativos de situações que possam 
trazer prejuízos. Neste contexto elas podem ser: 
1) Físicas
2) Lógicas
3) Administrativas
 Analise as questões abaixo e relacione o tipo corretamente: 
( ) Procedimento 
( ) Fechadura 
( ) Firewall 
( ) Cadeado 
( ) Normas 
1, 3, 1, 3, 2 
3, 1, 2, 1, 3 
3, 2, 1, 2, 3 
2, 1, 2, 1, 3 
2, 2, 1, 3, 1 
Respondido em 05/03/2021 09:46:01 
8 
 Questão 
Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam 
impactar no estudo e implementação de um processo de gestão de segurança em uma 
organização? 
Vulnerabilidade. 
Ameaça. 
insegurança 
Risco. 
Impacto . 
Respondido em 05/03/2021 09:46:07 
GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
2a aula Lupa 
Exercício: CCT0761_E 06/03/2021 
Aluno(a): M 2021.1 EAD 
Disciplina: CCT0761 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
1 
 Questão 
O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela 
informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos 
físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que por sua vez, 
mantêm a operação da empresa. Estes momentos são denominados: 
javascript:diminui();
javascript:aumenta();
Manuseio, transporte, compartilhamento e remoção 
Criação, compartilhamento, utilização e descarte 
Criação, utilização, armazenamento e compartilhamento 
Manuseio, armazenamento, transporte e descarte 
Iniciação, processamento, utilização e remoção 
Respondido em 06/03/2021 13:33:49 
Gabarito 
Comentado 
2 
 Questão 
Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido 
que cada informação tem. Quando uma informação é classificada como pública, podendo ser 
utilizada por todos sem causar danos à organização, podemos afirmar que ela possui qual nível de 
segurança? 
Irrestrito. 
Secreta. 
Interna. 
As opções (a) e (c) estão corretas. 
Confidencial. 
Respondido em 06/03/2021 13:34:02 
3 
 Questão 
Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e 
dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios 
considerados como fundamentais para atingir os objetivos da Segurança da Informação: 
Confiabilidade, Disponibilidade e Integridade. 
Confidencialidade, Descrição e Integridade. 
Confidencialidade, Indisponibilidade e Integridade. 
Confiabilidade, Disponibilidade e Intencionalidade. 
Confidencialidade, Disponibilidade e Integridade. 
Respondido em 06/03/2021 13:34:07 
Gabarito 
Comentado 
4 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4412974778&cod_hist_prova=218174686&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4412974778&cod_hist_prova=218174686&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4412974778&cod_hist_prova=218174686&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4412974778&cod_hist_prova=218174686&pag_voltar=otacka
 Questão 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor 
está associado a um contexto. A informação terá valor econômico para uma organização se ela 
gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou 
nenhum valor. Segundo os conceitos da Segurança da Informação, onde devemos proteger as 
informações? 
Nas Vulnerabilidades. 
Nas Ameaças. 
Nos Ativos . 
Nas Vulnerabilidades e Ameaças. 
Nos Riscos. 
Respondido em 06/03/2021 13:34:12 
Gabarito 
Comentado 
5 
 Questão 
Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o 
conceito de ¿Ativo de Informação¿? 
São aqueles que produzem, processam, transmitem ou armazenam informações. 
São aqueles que produzem, processam, reúnem ou expõem informações. 
São aqueles que constroem, dão acesso, transmitem ou armazenam informações. 
São aqueles tratam, administram, isolam ou armazenam informações. 
São aqueles que organizam, processam, publicam ou destroem informações. 
Respondido em 06/03/2021 13:34:17 
Gabarito 
Comentado 
Gabarito 
Comentado 
6 
 Questão 
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios 
da CID difere de empresa para empresa, pois cada empresa possui uma combinação única de 
requisitos de negócio e de segurança¿, podemos dizer que: 
A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
A afirmação é verdadeira. 
A afirmação é somente verdadeira para as empresas privadas. 
A afirmação é falsa. 
A afirmação é somente falsa para as empresas privadas. 
Respondido em 06/03/2021 13:34:23 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4412974778&cod_hist_prova=218174686&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4412974778&cod_hist_prova=218174686&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4412974778&cod_hist_prova=218174686&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4412974778&cod_hist_prova=218174686&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4412974778&cod_hist_prova=218174686&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4412974778&cod_hist_prova=218174686&pag_voltar=otacka
7 
 Questão 
Em relação as afirmações abaixo, assinale a opção que contenha apenas as 
corretas: 
I-Uma das maneiras mais efetivas de proteger os sistemas computacionais das
organizações é garantir que as vulnerabilidades que existem em cada
infraestrutura de TI não se transformem em algo danoso.
II-As ameaças não são os principais perigos a que uma empresa está́ susceptível.
III-A vulnerabilidade pode ser associada ao conceito de fragilidade. Dessa forma, a
vulnerabilidade pode ser definida como os pontos fracos explorados por ameaças
que afetam a confiabilidade e disponibilidade das informações de uma empresa.
Somente II e III 
Somente II 
Somente I 
Somente I e II 
Somente I e III 
Respondido em 06/03/2021 13:34:27 
Explicação: 
Somente I e III estão corretas 
8 
 Questão 
O advento da internet e a globalização transformaram completamente o mundo que vivemos e 
consequentemente estão revolucionando o modo de operação das empresas . A demanda gradual 
por armazenamento de conhecimento tem levado à necessidade de administração desses dados de 
forma confiável. Por que as organizações devem proteger as suas informações? 
Pelos seus valores estratégicos e financeiros. 
Somente pelos seus valores qualitativos e financeiros. 
Pelos seus valores internos e qualitativos. 
Somente pelo seu valor financeiro . 
Pelos seus valores estratégicos e qualitativos. 
Respondido em 06/03/2021 13:34:29 
GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
3a aula Lupa 
Exercício: CCT0761_EX_A3 08/03/2021 
Aluno(a): M 2021.1 EAD 
Disciplina: CCT0761 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO 2 
1 
 Questão 
O processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e 
levantar dados que possam prever a efetividade desse conjunto de proteções pode ser descrito em 
qual das opções abaixo? 
Análise de Vulnerabilidade 
Ativo 
Analise de Escopo 
Ameaça 
Analise de Incidente 
Respondido em 08/03/2021 09:31:11 
Gabarito 
Comentado 
2 
 Questão 
João trabalha no Datacenter de uma empresa de Tecnologia. Logo assim que chegou no ambiente 
de trabalho, ocorreu um curto circuito e iniciou um incêndio. João correu para buscar um extintor 
contra incêndio e percebeu que ele estava vazio. Neste caso estamos falando de vulnerabilidade do 
tipo: 
Física 
Humana 
Mídia 
Comunicação 
Natural 
Respondidoem 08/03/2021 09:31:13 
3 
 Questão 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123808&cod_hist_prova=218246594&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123808&cod_hist_prova=218246594&pag_voltar=otacka
javascript:diminui();
javascript:aumenta();
Relacione a primeira coluna com a segunda:
A. Área de armazenamento sem proteção 1. ativo
B. Estações de trabalho 2. vulnerabilidade
C. Falha de segurança em um software 3. ameaça
D. Perda de vantagem competitiva 4. impacto
E. Roubo de informações 5. medida de segurança
F. Perda de negócios
G. Não é executado o "logout" ao término do uso dos sistemas
H. Perda de mercado
I. Implementar travamento automático da estação após período de tempo sem uso
J. Servidores
K. Vazamento de informação
A2, B1, C3, D3, E3, F4, G2, H4, I5, J1, K4. 
A2, B1, C3, D3, E4, F4, G2, H4, I5, J1, K3. 
A2, B1, C2, D4, E4, F4, G2, H4, I5, J1, K3. 
A2, B1, C2, D3, E3, F3, G2, H4, I5, J1, K4. 
A2, B1, C2, D4, E3, F4, G2, H4, I5, J1, K3. 
Respondido em 08/03/2021 09:31:17 
Gabarito 
Comentado 
4 
 Questão 
Em setembro de 2012, o sistemas militar que controla armas nucleares, localizado na Casa Branca. 
Os Hackers invadiram através de servidores localizados na China. Neste ataque foi utilizada a 
técnica conhecida como spear-phishing, que é um ataque muito utilizado, e que consiste em enviar 
informações que confundam o usuário e o mesmo execute um código malicioso. Essa técnica 
geralmente ocorre através de envio de e-mails falsos, porém com aparência de confiáveis.. Qual 
você acha que foi o tipo de vulnerabilidade utilizada neste caso? 
Vulnerabilidade Física. 
Vulnerabilidade de Hardware. 
Vulnerabilidade Natural. 
Vulnerabilidade de Mídias. 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123808&cod_hist_prova=218246594&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123808&cod_hist_prova=218246594&pag_voltar=otacka
Vulnerabilidade Humana. 
Respondido em 08/03/2021 09:31:25 
Gabarito 
Comentado 
5 
 Questão 
Analise o trecho abaixo: 
"Além da falta de água nas torneiras, a crise hídrica começa agora a afetar também a distribuição 
de energia elétrica no país. Cidades de ao menos sete unidades federativas do Brasil e no Distrito 
Federal registraram cortes severos, na tarde desta segunda-feira." Jornal O DIA, em 19/01/2015. 
Neste caso as empresas de Tecnologia que estão localizadas no município apresentam a 
vulnerabilidade do tipo: 
Comunicação 
Natural 
Mídia 
Hardware 
Física 
Respondido em 08/03/2021 09:31:29 
Gabarito 
Comentado 
6 
 Questão 
Maio/2011 - A Sony sofre invasão de hackers com o vazamento de informações de mais de 100 
milhões de usuários da rede online de games PlayStation Network. O ataque à base de dados de 
clientes se realizou desde um servidor de aplicações conectado com ela, e que está depois de um 
servidor site e dois firewalls. Segundo a companhia, os hackers encobriram o ataque como uma 
compra na plataforma online de Sony e depois de passar do servidor site, O ataque, que foi 
considerado um dos maiores, no sentido do vazamento de dados confidenciais, da história obrigou 
a Sony a reconstruir grande parte da sua rede, causado um prejuízo de 171 milhões de Dólares. A 
rede também ficou fora do ar por 28 dias, sendo que alguns serviços menos essenciais foram 
reestabelecidos primeiro e regionalmente antes do reestabelecimento total de todos os serviços. . 
Qual você acha que foi a vulnerabilidade para este ataque? 
Vulnerabilidade de Mídias 
Vulnerabilidade de Software 
Vulnerabilidade Natural 
Vulnerabilidade Física 
Vulnerabilidade de Comunicação 
Respondido em 08/03/2021 09:31:34 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123808&cod_hist_prova=218246594&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123808&cod_hist_prova=218246594&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123808&cod_hist_prova=218246594&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123808&cod_hist_prova=218246594&pag_voltar=otacka
7 
 Questão 
Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões 
entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João 
na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria 
compartilhe as informações confidenciais que possui. Neste caso estamos falando de 
vulnerabilidade do tipo: 
Física 
Natural 
Comunicação 
Humana 
Mídia 
Respondido em 08/03/2021 09:31:40 
Gabarito 
Comentado 
8 
 Questão 
Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas 
tentativas de invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques 
criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não 
identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o 
tipo de vulnerabilidade utilizada neste caso? 
Vulnerabilidade Natural. 
Vulnerabilidade de Software. 
Vulnerabilidade de Comunicação. 
Vulnerabilidade de Mídias. 
Vulnerabilidade Física. 
Respondido em 08/03/2021 09:31:42 
GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
4a aula Lupa 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123808&cod_hist_prova=218246594&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123808&cod_hist_prova=218246594&pag_voltar=otacka
javascript:abre_colabore('38403','218246594','4413123808');
javascript:diminui();
javascript:aumenta();
Exercício: CCT0761_EX_A 08/03/2021 
Aluno(a): M 2021.1 EAD 
Disciplina: CCT0761 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO 2 
1 
 Questão 
As ameaças são agentes ou condições que causam incidentes que comprometem as informações e 
seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as 
possíveis classificações das ameaças quanto a sua intencionalidade? 
Naturais, Voluntarias e Obrigatórias. 
Ocasionais, Involuntárias e Obrigatórias. 
Naturais, Involuntárias e Obrigatórias. 
Naturais, Involuntárias e Voluntarias. 
Naturais, Voluntarias e Vulneráveis. 
Respondido em 08/03/2021 09:31:57 
2 
 Questão 
O que são exploits? 
Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar 
por outra máquina, utilizando a técnica de Spoofing. Quando estas solicitações começarem 
a ser respondidas, o sistema alvo será inundado (flood) pelas respostas do servidor. 
É um programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e 
necessita deste programa hospedeiro para se propagar, o worm é um programa completo e 
não precisa de outro programa para se propagar. 
São pequenos programas escritos geralmente em linguagem C que exploram 
vulnerabilidades conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são 
utilizados por pessoas sem conhecimento da vulnerabilidade. 
Consiste no software de computador que recolhe a informação sobre um usuário do 
computador e transmite então esta informação a uma entidade externa sem o 
conhecimento ou o consentimento informado do usuário. 
São programas utilizados para descobrir as senhas dos usuários. Estes programas 
geralmente são muito lentos, pois usam enormes dicionários com o máximo de 
combinações possíveis de senhas e ficam testando uma a uma até achar a senha 
armazenada no sistema 
Respondido em 08/03/2021 09:32:02 
Gabarito 
Comentado 
3 
 Questão 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123818&cod_hist_prova=218246604&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123818&cod_hist_prova=218246604&pag_voltar=otackaUma das primeiras ameaças que as redes estão susceptíveis são os vírus. Os vírus 
são programadas desenvolvidos para alterar de forma nociva softwares instalados 
em uma rede. Sobre os vírus assinale apenas a opção que contenha apenas as 
opções verdadeiras: 
I-O vírus é um programa normalmente malicioso que propaga-se na rede
realizando cópias de si mesmo.
II-Para que o vírus se torne ativo é necessário que o mesmo seja executado pelo
programa infectado.
III- Um vírus executa diretamente suas cópias e explora diretamente as
vulnerabilidades existentes na rede de computadores
Apenas II 
Apenas I e II 
I, II e III 
Apenas I 
Apenas I e III 
Respondido em 08/03/2021 09:32:12 
Explicação: 
A afirmativa III refere-se a um WORM 
4 
 Questão 
Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? 
Forte 
Passivo 
Ativo 
Secreto 
Fraco 
Respondido em 08/03/2021 09:32:16 
Gabarito 
Comentado 
5 
 Questão 
Com relação as ameaças aos sistema de informação, assinale a opção correta: 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123818&cod_hist_prova=218246604&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123818&cod_hist_prova=218246604&pag_voltar=otacka
Worm é um programa ou parte de um programa de computador, usualmente malicioso, que 
se propaga ao criar cópias de si mesmo e, assim, se torna parte de outros programas e 
arquivos. 
Backdoor é um programa que permite o acesso de uma máquina a um invasor de 
computador, pois assegura a acessibilidade a essa máquina em modo remoto, sem utilizar, 
novamente, os métodos de realização da invasão. 
Spyware é um programa que permite o controle remoto do agente invasor e é capaz de se 
propagar automaticamente, pois explora vulnerabilidades existentes em programas 
instalados em computadores. 
Bot é um programa capaz de se propagar, automaticamente, por rede, pois envia cópias de 
si mesmo de computador para computador, por meio de execução direta ou por exploração 
automática das vulnerabilidades existentes em programas instalados em computadores. 
Vírus é um programa que monitora as atividades de um sistema e envia informações 
relativas a essas atividades para terceiros. Um exemplo é o vírus keylogger que é capaz de 
armazenar os caracteres digitados pelo usuário de um computador. 
Respondido em 08/03/2021 09:32:21 
Gabarito 
Comentado 
6 
 Questão 
Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? 
Alteração da página inicial apresentada no browser do usuário; 
Captura de outras senhas usadas em sites de comércio eletrônico; 
Monitoramento de URLs acessadas enquanto o usuário navega na Internet 
Alteração ou destruição de arquivos; 
Captura de senhas bancárias e números de cartões de crédito; 
Respondido em 08/03/2021 09:32:31 
7 
 Questão 
Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou 
diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de 
um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: 
Métodos Detectivos 
Medidas Corretivas e Reativas 
Medidas Preventivas 
Medidas Perceptivas 
Métodos Quantitativos 
Respondido em 08/03/2021 09:32:42 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123818&cod_hist_prova=218246604&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123818&cod_hist_prova=218246604&pag_voltar=otacka
Gabarito 
Comentado 
8 
 Questão 
Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo 
teclado do usuário e é enviado para o invasor ? 
Defacement 
Keylogger 
Phishing 
Spyware 
Backdoor 
Respondido em 08/03/2021 09:32:44 
GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
5a aula Lupa 
Exercício: CCT0761_EX_A5_ 08/03/2021 
Aluno(a): M 2021.1 EAD 
Disciplina: CCT0761 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO 2 
1 
 Questão 
Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de 
um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta 
ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de 
Buffer Overflow 
Fragmentação de Pacotes IP 
Smurf 
Fraggle 
SQL Injection 
Respondido em 08/03/2021 09:33:00 
Gabarito 
Comentado 
Gabarito 
Comentado 
2 
 Questão 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123818&cod_hist_prova=218246604&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123818&cod_hist_prova=218246604&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123928&cod_hist_prova=218246615&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123928&cod_hist_prova=218246615&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123928&cod_hist_prova=218246615&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123928&cod_hist_prova=218246615&pag_voltar=otacka
javascript:diminui();
javascript:aumenta();
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso 
à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o 
servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? 
SYN Flooding 
Ip Spoofing 
Fragmentação de pacotes IP 
Fraggle 
Port Scanning 
Respondido em 08/03/2021 09:33:05 
3 
 Questão 
Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu 
objetivo, qual das opções abaixo Não representa um destes passos? 
Camuflagem das Evidências 
Obtenção de Acesso 
Exploração das Informações 
Divulgação do Ataque 
Levantamento das Informações 
Respondido em 08/03/2021 09:33:09 
4 
 Questão 
Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões 
entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João 
na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria 
compartilhe as informações confidenciais que possui. Neste caso podemos afirmar que João está 
realizando um ataque do tipo: 
Conhecimento prévio 
escaneamento 
De conhecimento 
Engenharia social 
Força bruta 
Respondido em 08/03/2021 09:33:16 
Gabarito 
Comentado 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123928&cod_hist_prova=218246615&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123928&cod_hist_prova=218246615&pag_voltar=otacka
5 
 Questão 
Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir posteriormente o 
acesso à máquina invadida para o atacante ? 
Rootkit 
Spam 
0Day 
Worm 
Backdoor 
Respondido em 08/03/2021 09:33:21 
6 
 Questão 
A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através 
do envio de informações inconsistentes para um campo de entrada de dados da tela principal do 
sistema. Neste caso, foi utilizado um ataque de: 
Smurf 
Buffer Overflow 
Fraggle 
Fragmentação de pacotes IP 
SQL injection 
Respondido em 08/03/2021 09:33:26 
7 
 Questão 
Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: 
Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas do 
protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir 
quais os serviços estão ativos em cada porta. Qual seria este ataque: 
Ip Spoofing. 
Packet Sniffing. 
Fraggle. 
Port Scanning. 
Syn Flooding. 
Respondido em 08/03/2021 09:33:31 
Gabarito 
Comentado 
8 
 QuestãoApós conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de 
banco de dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder 
seus atos não autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras 
coisas Pedro alterou os arquivos de Log. Neste caso, Pedro está em que passo da metodologia de 
um ataque? 
Exploração das Informações 
Divulgação do Ataque 
Levantamento das Informações 
Camuflagem das Evidências 
Obtenção de Acesso 
Respondido em 08/03/2021 09:33:36 
GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
6a aula Lupa 
Exercício: CCT0761_EX_A6_2 08/03/2021 
Aluno(a): M 2021.1 EAD 
Disciplina: CCT0761 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO 2 
1 
 Questão 
Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las 
posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ? 
Spyware 
Rootkit 
Bot/Botnet 
Phishing 
Spammer 
Respondido em 08/03/2021 09:33:48 
Gabarito 
Comentado 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123928&cod_hist_prova=218246615&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123928&cod_hist_prova=218246615&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123932&cod_hist_prova=218246620&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123932&cod_hist_prova=218246620&pag_voltar=otacka
javascript:diminui();
javascript:aumenta();
2 
 Questão 
Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de 
gestão de incidentes sequencialmente ? 
Impacto, ameaça, incidente e recuperação 
Ameaça, impacto, incidente e recuperação 
Incidente, recuperação, impacto e ameaça 
Incidente, impacto, ameaça e recuperação 
Ameaça, incidente, impacto e recuperação 
Respondido em 08/03/2021 09:33:53 
Gabarito 
Comentado 
3 
 Questão 
A gestão da continuidade do negócio está associada, a não permitir a interrupção das atividades do 
negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. 
Analise: 
I. Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo
com os requisitos regulamentares, estatutários, contratuais e do negócio;
II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma
a assegurar sua permanente atualização e efetividade;
III. Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para
a proteção da informação.
IV. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio,
junto à probabilidade e impacto de tais interrupções e as conseqüências para a segurança de
informação;
Quanto aos controles relacionados à gestão da continuidade do negócio, marque a opção correta:
I, II e IV, somente 
II e IV, somente 
I e III, somente 
I e II, somente 
I, II e III, somente 
Respondido em 08/03/2021 09:33:57 
Explicação: 
. 
4 
 Questão 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123932&cod_hist_prova=218246620&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123932&cod_hist_prova=218246620&pag_voltar=otacka
Referente ao processo de Gestão de incidentes, qual é a sequência na ordem que compõem o 
processo de gestão de incidentes ? 
Incidente, recuperação, impacto e ameaça 
Incidente, impacto, ameaça e recuperação 
Impacto, ameaça, incidente e recuperação 
Ameaça, incidente, impacto e recuperação 
Ameaça, impacto, incidente e recuperação 
Respondido em 08/03/2021 09:34:01 
Gabarito 
Comentado 
5 
 Questão 
Qual das opções abaixo representa o tipo de ação quando observamos que o custo de proteção 
contra um determinado risco não vale a pena ser aplicado: 
Comunicação do Risco 
Aceitação do Risco 
Recusar o Risco 
Garantia do Risco 
Monitoramento do Risco 
Respondido em 08/03/2021 09:34:06 
6 
 Questão 
Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a 
Segurança da Informação: 
Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos 
Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos 
Tudo aquilo que tem origem para causar algum tipo de erro nos ativos 
Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos 
Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. 
Respondido em 08/03/2021 09:34:11 
7 
 Questão 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123932&cod_hist_prova=218246620&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123932&cod_hist_prova=218246620&pag_voltar=otacka
Vamos analisar cada item. E marque a alternativa correta. 
O antivírus é uma ferramenta que auxilia no combate às pragas eletrônicas 
O driver do HD possibilita a comunicação entre o HD e o computador/sistema operacional; 
RSS (Really Simple Syndication) é uma forma de Feed que possibilita ao usuário receber 
dados de diversas fontes, reunindo-os em único local; 
O FTP (file transfer protocol) é o protocolo para transferência de arquivos do conjunto 
TCP/IP. Não é o único capaz de transferir arquivos, mas este é especializado e possui vários 
comandos para navegação e transferência de arquivos; 
O HTTP (hipertexto transfer protocol)? a ? é o protocolo utilizado pela WEB; 
Respondido em 08/03/2021 09:34:16 
8 
 Questão 
Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da 
Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão 
sobre o tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o 
tratamento do risco, exceto: 
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos. 
Aplicar controles apropriados para reduzir os riscos. 
Identificar os riscos de segurança presentes. 
Transferir os riscos associados para outras partes, por exemplo, seguradoras ou 
fornecedores. 
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política 
da organização e aos critérios para a aceitação do risco. 
Respondido em 08/03/2021 09:34:20 
Explicação: 
Identificar os riscos de segurança presentes.===> FALSO. Não só presentes como existentes em 
qualquer situação. 
Aplicar controles apropriados para reduzir os riscos.===> VERDADE 
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização 
e aos critérios para a aceitação do risco.===> VERDADE 
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.===> VERDADE 
Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. ===> 
VERDADE 
GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
7a aula Lupa 
Exercício: CCT0761_EX_A7_2 08/03/2021 
Aluno(a): M 2021.1 EAD 
Disciplina: CCT0761 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO 20 
1 
 Questão 
Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: 
Suposição de risco 
Limitação de risco 
Aceitação de risco 
Transferência de risco 
Prevenção de risco 
Respondido em 08/03/2021 09:34:35 
2 
 Questão 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação 
onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser 
implementados para alcançar a estratégia definida nas diretrizes? 
Normas. 
Procedimentos. 
Manuais. 
Relatório Estratégico. 
Diretrizes. 
Respondido em 08/03/2021 09:34:39 
Gabarito 
Comentado 
3 
 Questão 
A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, 
que tem como objetivo ¿estabelecer diretrizes e princípios geraispara iniciar, implementar, manter 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123938&cod_hist_prova=218246626&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123938&cod_hist_prova=218246626&pag_voltar=otacka
javascript:diminui();
javascript:aumenta();
e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: 
Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do 
Negócio: 
Uma orientação de como a organização deve proceder para estabelecer a política de 
segurança da informação. 
É o conjunto de princípios e objetivos para o processamento da informação que uma 
organização tem que desenvolver para apoiar suas operações. 
Determina que a organização deve prevenir o acesso físico não autorizado, danos e 
interferências com as instalações e informações da organização. 
A orientação da organização para assegurar que funcionários, fornecedores e terceiros 
entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a 
reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. 
São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a 
organização, seus parceiros comerciais, contratados e provedores de serviço tem que 
atender. 
Respondido em 08/03/2021 09:34:44 
Gabarito 
Comentado 
4 
 Questão 
A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, 
implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios 
gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma 
organização. Em relação a Análise de Risco utilizada por esta norma complete as lacunas: A partir 
da análise/avaliação de riscos levando-se em conta os objetivos e _________________ globais da 
organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma 
estimativa de ocorrência das ____________ e do impacto potencial ao negócio. 
oportunidades, ações 
especulações, ameaças 
oportunidades, vulnerabilidades 
estratégias, ameaças 
determinações, ações 
Respondido em 08/03/2021 09:34:48 
5 
 Questão 
A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das 
atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres 
significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está 
fazendo referência a que tipo de ação de Segurança? 
Gestão de Incidentes de Segurança da Informação 
Gestão da Continuidade do Negócio 
Controle de Acesso 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123938&cod_hist_prova=218246626&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123938&cod_hist_prova=218246626&pag_voltar=otacka
Gerenciamento das Operações e Comunicações 
Segurança Física e do Ambiente. 
Respondido em 08/03/2021 09:34:53 
6 
 Questão 
A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos 
recursos de processamento de dados e aos processos de negócios com base nos requisitos de 
negócio e na segurança da informação levando em consideração as políticas para autorização e 
disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo 
de ação de Segurança? 
Desenvolvimento e Manutenção de Sistemas 
Segurança Física e do Ambiente 
Controle de Acesso 
Gerenciamento das Operações e Comunicações 
Segurança em Recursos Humanos 
Respondido em 08/03/2021 09:34:55 
7 
 Questão 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação 
onde são definidas as regras de alto nível que representam os princípios básicos que a organização 
resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção? 
Diretrizes. 
Manuais. 
Normas. 
Relatório Estratégico. 
Procedimentos. 
Respondido em 08/03/2021 09:35:00 
Gabarito 
Comentado 
8 
 Questão 
Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 
27000 ? 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123938&cod_hist_prova=218246626&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123938&cod_hist_prova=218246626&pag_voltar=otacka
ISO/IEC 27001 
ISO/IEC 27004 
ISO/IEC 27005 
ISO/IEC 27002 
ISO/IEC 27003 
Respondido em 08/03/2021 09:35:06 
Gabarito 
Comentado 
GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
8a aula Lupa 
Exercício: CCT0761_EX_A8_2 08/03/2021 
Aluno(a): M 2021.1 EAD 
Disciplina: CCT0761 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO 2 
1 
 Questão 
A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a 
instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de 
alarmes, neste caso qual o tipo de proteção que está sendo utilizada ? 
Limitação 
Preventiva 
Desencorajamento 
Correção 
Reação 
Respondido em 08/03/2021 09:35:16 
2 
 Questão 
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define
o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o
objetivo do controle.
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123938&cod_hist_prova=218246626&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123938&cod_hist_prova=218246626&pag_voltar=otacka
javascript:diminui();
javascript:aumenta();
organização. 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas
as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles
considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada
e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser
fornecidas.
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo
claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de
riscos em outras áreas, se necessário.
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: 
I e III. 
II. 
I e II. 
III e IV. 
II e III. 
Respondido em 08/03/2021 09:35:20 
Gabarito 
Comentado 
3 
 Questão 
A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim 
de estruturar todos os processos envolvidos em um sistema de gestão da 
segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove 
uma melhora nos processos da organização e uma solução eficiente para os 
problemas. 
Em relaçao a etapa "Check", qual das alternativas abaixo descreve essa etapa: 
Estabelece uma política, metas e processos de um sistema de gestão da 
segurança da informação. Esta etapa deve definir os critérios para a 
aceitação dos riscos e qual nível de aceitação. 
Nesta etapa implementa-se através de programas de conscientização e 
treinamento para os funcionários em relação as operações e recursos do 
SGSI. 
Nenhuma das opções anteriores. 
É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos 
controles e políticas de segurança estabelecidos. 
São colocadas em prática as ações corretivas e preventivas que foram identificadas nas 
etapas anteriores. 
Respondido em 08/03/2021 09:35:23 
Explicação: 
Na fase Check (checar) é realizado o monitoramento e 
avaliação do sistema SGSI a fim de analisar a eficácia dos 
controles e políticas de segurançaestabelecidos. Esse 
monitoramento dos riscos é muito importante, já que 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123944&cod_hist_prova=218246632&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123944&cod_hist_prova=218246632&pag_voltar=otacka
raramente os riscos permaneceram estáticos. Dessa forma, 
esse processo evitará que ameaças aumentem o nível de 
riscos.
4 
 Questão 
A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua 
contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. 
Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta 
análise: 
A avaliação dos riscos e incidentes desejados 
A realimentação por parte dos envolvidos no SGSI 
Os resultados das auditorias anteriores e análises críticas 
A avaliação das ações preventivas e corretivas 
Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações 
de risco anteriores 
Respondido em 08/03/2021 09:35:31 
Gabarito 
Comentado 
5 
 Questão 
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir 
que a organização certificada: 
implementou um sistema para gerência da segurança da informação de acordo com os 
padrões nacionais das empresas de TI. 
implementou um sistema para gerência da segurança da informação de acordo com os 
desejos de segurança dos funcionários e padrões comerciais. 
implementou um sistema para gerência da segurança da informação de acordo 
fundamentado nos desejos de segurança dos Gerentes de TI. 
implementou um sistema para gerência da segurança da informação de acordo com os 
padrões e melhores práticas de segurança reconhecidas no mercado 
implementou um sistema para gerência da segurança da informação de acordo com os 
padrões de segurança de empresas de maior porte reconhecidas no mercado. 
Respondido em 08/03/2021 09:35:39 
6 
 Questão 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123944&cod_hist_prova=218246632&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413123944&cod_hist_prova=218246632&pag_voltar=otacka
Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a 
norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve 
Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: 
Aplicar as lições aprendidas de experiências de segurança da informação de outras 
organizações. 
Especificar a forma de medir a eficácia dos controles de modo a produzir resultados 
comparáveis. 
Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e 
vulnerabilidades prevalecentes 
Definir e medir a eficácia dos controles ou grupos de controle selecionados. 
Especificar os requisitos necessários para o estabelecimento, implementação, operação, 
monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de 
Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. 
Respondido em 08/03/2021 09:35:43 
7 
 Questão 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações 
ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de 
auditorias, da análise dos eventos monitorados e através de ações: 
Prevenção e Preventivas. 
Corretivas e Preventivas. 
Corrigidas e Preventivas. 
Corretivas e Correção. 
Corretivas e Corrigidas. 
Respondido em 08/03/2021 09:35:51 
8 
 Questão 
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da 
segurança da informação das organizações. Nessa norma é apresentado os 
requisitos necessários que uma organização necessitará na estruturação de seu 
sistema de gestão da segurança da informação. Sobre essa norma analise as 
afirmativas abaixo: 
I-A norma ISO/IEC 27001 aborda a política de segurança da informação que é uma
declaração da empresa em relação ao seu compromisso com a proteção dos ativo
da informação
II-inclui a estruturação necessária para definir objetivos e estabelecer a orientação
global e os princípios para atividades que envolvam a segurança da informação.
III-Identifica as obrigações dos contratos de segurança, regulamentações e os
requisitos da organização;
Assinale apenas a opção que contenha afirmações corretas: 
Apenas I e II 
Apenas II e III 
Apenas II 
I, II e III 
Apenas I 
Respondido em 08/03/2021 09:35:56 
Explicação: 
Todas estão corretas 
GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
9a aula Lupa 
Exercício: CCT0761_EX_A9_201 08/03/2021 
Aluno(a): M 2021.1 EAD 
Disciplina: CCT0761 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO 2 
1 
 Questão 
De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da 
gestão de continuidade do negócio (GCN). 
GCN é a fase inicial da implantação da gestão de continuidade em uma organização. 
GCN é uma abordagem alternativa à gestão de riscos de segurança da informação. 
A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, 
serviços e(ou) atividades críticas e recursos de suporte de uma organização. 
A definição da estratégia de continuidade determina o valor dos períodos máximos 
toleráveis de interrupção das atividades críticas da organização. 
A implementação da resposta de GCN compreende a realização dos testes dos planos de 
resposta a incidentes, de continuidade e de comunicação. 
Respondido em 08/03/2021 09:40:28 
Gabarito 
Comentado 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413130810&cod_hist_prova=218241432&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413130810&cod_hist_prova=218241432&pag_voltar=otacka
javascript:diminui();
javascript:aumenta();
2 
 Questão 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua 
organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade 
de negócios. Analise a opção que melhor retrata a estratégia a ser definida: 
A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de 
incidentes e seus efeitos. 
A organização deve somente considerar as medidas apropriadas para reduzir a 
probabilidade de ocorrência de incidentes e seus efeitos. 
A organização deve implementar medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. 
A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência 
de incidentes e seus efeitos. 
A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência 
de incidentes e seus efeitos. 
Respondido em 08/03/2021 09:37:35 
3 
 Questão 
BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de 
Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma 
............................e........................... dos principais processos de negócios mapeados e 
entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de 
Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a 
implementação da Continuidade de Negócios. 
Clara e Intelegível 
Simples e Objetiva. 
Estatística e Ordenada 
Natural e Desordenada 
Qualitativa e Quantitativa 
Respondido em 08/03/2021 09:37:52 
4 
 Questão 
Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de 
Negócio (GCN) esteja no nível mais alto da organização? 
Para garantir que as metas e objetivos dos clientes não sejam comprometidos por 
interrupções inesperadas. 
Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções 
inesperadas. 
Para garantir que as metas e objetivos da política de segurança não sejamcomprometidos 
por interrupções inesperadas. 
Para garantir que as metas e objetivos dos usuários não sejam comprometidos por 
interrupções inesperadas. 
Para garantir que as metas e objetivos definidos não sejam comprometidos por 
interrupções inesperadas. 
Respondido em 08/03/2021 09:37:57 
Gabarito 
Comentado 
5 
 Questão 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro 
que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o 
arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve 
uma falha na segurança da informação relacionada à: 
Confidencialidade; 
Autenticidade; 
Auditoria; 
Não-Repúdio; 
Integridade; 
Respondido em 08/03/2021 09:38:02 
6 
 Questão 
Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de 
gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de 
recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente 
para manter ou restaurar as operações. 
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento: 
Determinando a estratégia de continuidade de negócios. 
Desenvolvendo e implementando uma resposta de GCN. 
Testando, mantendo e analisando criticamente os preparativos de GCN. 
Incluindo a GCN na cultura da organização. 
Entendendo a organização. 
Respondido em 08/03/2021 09:40:17 
Gabarito 
Comentado 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413130810&cod_hist_prova=218241432&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413130810&cod_hist_prova=218241432&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413130810&cod_hist_prova=218241432&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413130810&cod_hist_prova=218241432&pag_voltar=otacka
7 
 Questão 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios 
e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e 
setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as 
suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos 
definir o elemento "Desenvolvendo e Implementando"? 
A organização precisa verificar se suas estratégicas e planos estão completos, atualizados 
e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda 
identificada as oportunidades de melhorias possíveis. 
Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de 
incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos 
a serem tomados durante e após um incidente , para manter ou restaurar as operações. 
Para o estabelecimento do programa de GCN é necessário entender a organização para 
definir a priorização dos produtos e serviços da organização e a urgência das atividades 
que são necessárias para fornecê-los. 
Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de 
modo que a organização possa continuar fornecendo seus produtos e serviços em um nível 
operacional e quantidade de tempo aceitável durante e logo após uma interrupção. 
Para que às partes interessadas tenham confiança quanto à capacidade da organização de 
sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos 
valores da organização, através da sua inclusão na cultura da empresa. 
Respondido em 08/03/2021 09:40:21 
Gabarito 
Comentado 
8 
 Questão 
O Plano de Continuidade do Negócio...... 
prioriza e estabelece as ações de implantação como resultado de uma ampla análise de 
risco. 
define uma ação de continuidade imediata e temporária. 
deve ser elaborado com base em premissas departamentais particulares do que é 
considerado importante ou não. 
não precisa ser testado antes que se torne realmente necessário, pois testes por si só 
implicam em riscos aos ativos de informação. 
precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a 
responsabilidade de alguém como os processos organizacionais. 
Respondido em 08/03/2021 09:40:23 
GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
10a aula Lupa 
Exercício: CCT0761_EX_A10_ 08/03/2021 
Aluno(a): M 2021.1 EAD 
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413130810&cod_hist_prova=218241432&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413130810&cod_hist_prova=218241432&pag_voltar=otacka
javascript:diminui();
javascript:aumenta();
Disciplina: CCT0761 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO 2 
1 
 Questão 
Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um 
comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns 
servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está 
ocorrendo no tráfego da rede. Neste caso você irá utilizar: 
Um detector de intrusão para realizar a análise do tráfego da rede 
Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede 
Um analisador de protocolo para auxiliar na análise do tráfego da rede 
Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall 
Um sniffer de rede, para analisar o tráfego da rede 
Respondido em 08/03/2021 09:40:41 
2 
 Questão 
Dentre as vantagens de utilização de normas, podemos destacar as seguintes, EXCETO: 
Demonstração de liderança de mercado 
Criação de vantagens competitivas 
Desenvolvimento e manutenção das melhores práticas 
Atrair e manter clientes 
Compartilhamento de informações com os stakeholders 
Respondido em 08/03/2021 09:41:21 
3 
 Questão 
Uma empresa teve a sua sala de servidores incendiadas e com isso perdeu todos os dados 
importantes para a empresa, mas ela estava preparada para a continuidade dos negócios, o que 
você acha que foi importante para a recuperação destes dados: 
Na empresa haviam Backups ou cópias de segurança que são itens muito importantes na 
administração de sistemas devendo fazer parte da rotina de operação dos sistemas da 
organização, através de uma política pré-determinada. 
A empresa possuía um FIREWALL que isolam a rede interna da organização da área pública 
da Internet, permitindo que alguns pacotes passem e outros não, prevenindo ataques de 
negação de serviço ou modificações e acessos ilegais aos dados internos. 
Eles tinham um IDS que tem como principal objetivo reconhecer um comportamento ou 
uma ação intrusiva, através da análise das informações disponíveis em um sistema de 
computação ou rede. 
Havia uma VPN interligando várias Intranets através da Internet. 
Eles dispunham de uma DMZ que são pequenas redes que geralmente contém serviços 
públicos que são conectados diretamente ao firewall ou a outro dispositivo de filtragem e 
que recebem a proteção deste dispositivo. 
Respondido em 08/03/2021 09:41:16 
4 
 Questão 
Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e 
seus componentes ? 
Redes Não Confiáveis - Não possuem controle da administração. 
Redes Não Confiáveis - Não é possível informar se necessitam de proteção. 
Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou 
não confiável. 
Redes Não Confiáveis - Não possuem políticas de segurança. 
Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de 
proteção 
Respondido em 08/03/2021 09:41:10 
5 
 Questão 
Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está 
INCORRETA : 
A Chave Publica pode ser divulgada livremente 
Cada pessoa ou entidade mantém duas chavesA Chave Publica não pode ser divulgada livremente, somente a Chave Privada 
A Chave Privada deve ser mantida em segredo pelo seu Dono 
Chave Publica e Privada são utilizadas por algoritmos assimétricos 
Respondido em 08/03/2021 09:41:06 
6 
 Questão 
Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente 
físico e, até mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de 
contingência que melhor conduza o objeto a operar sob um nível de risco controlado. Nas 
estratégias de contingência possíveis de implementação, qual a estratégia que está pronta para 
entrar em operação assim que uma situação de risco ocorrer? 
Cold-site 
Realocação de operação 
Warm-site 
Acordo de reciprocidade 
Hot-site 
Respondido em 08/03/2021 09:41:01 
Gabarito 
Comentado 
7 
 Questão 
Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto 
de controle da rede de computadores de uma empresa sendo sua função a de regular o tráfego de 
dados entre essa rede e a internet e impedir a transmissão e/ou recepção de acessos nocivos ou 
não autorizados. 
Adware. 
Mailing. 
Spyware. 
Antivírus. 
Firewall. 
Respondido em 08/03/2021 09:40:47 
8 
 Questão 
Quem é o responsavel por liberar o acesso as informações? 
O presidente é a pessoa que tem autoridade para liberar ou negar o acesso 
de qualquer usuário a uma determinada informação. 
O gestor da informação é a pessoa que tem autoridade para liberar ou 
negar o acesso de qualquer usuário a uma determinada informação. 
A secretária é a pessoa que tem autoridade para liberar ou negar o acesso 
de qualquer usuário a uma determinada informação. 
O estagiário é a pessoa que tem autoridade para liberar ou negar o acesso 
de qualquer usuário a uma determinada informação. 
O gerente de compras é a pessoa que tem autoridade para liberar ou negar 
o acesso de qualquer usuário a uma determinada informação.
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413131042&cod_hist_prova=218241470&pag_voltar=otacka
https://simulado.estacio.br/bdq_simulados_exercicio_preview.asp?cod_prova=4413131042&cod_hist_prova=218241470&pag_voltar=otacka
Respondido em 08/03/2021 09:40:51 
Explicação: 
O gestor da informação é a pessoa que tem autoridade para 
liberar ou negar o acesso de qualquer usuário a uma 
determinada informação.
O gestor deve levar em consideração se o usuário realmente 
necessita da informação para executar suas funções dentro da 
organização.