INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO - Avaliando o aprendizado 2021 Estacio

Prévia do material em texto

1 
 Questão 
Acerto: 0,0 / 0,1 
 
 
No ramo da Segurança da Informação podemos verificar diversas propriedades. Assinale 
aquela que não compõe uma dessas propriedades: 
 
 Confidencialidade 
 Autenticidade 
 Integridade 
 Disponibilidade 
 Imparcialidade 
Respondido em 08/06/2021 21:53:25 
 
 
Compare com a sua resposta: 
A disponibilidade é um conceito muito importante na segurança da informação, e refere-se à 
garantia de que a informação em um ambiente eletrônico ou físico deve estar ao dispor de 
seus usuários autorizados, no momento em que eles precisem fazer uso dela. 
 
2 
 Questão 
Acerto: 0,1 / 0,1 
 
 
A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da 
Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, 
implementar, manter e melhorar a gestão de segurança da informação em uma 
organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos 
Legais. Podemos definir como Requisitos do Negócio: 
 
 
Determina que a organização deve prevenir o acesso físico não autorizado, danos 
e interferências com as instalações e informações da organização. 
 
São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a 
organização, seus parceiros comerciais, contratados e provedores de serviço tem 
que atender. 
 
A orientação da organização para assegurar que funcionários, fornecedores e 
terceiros entendam suas responsabilidades e estejam de acordo com os seus 
papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos 
recursos. 
 
Uma orientação de como a organização deve proceder para estabelecer a política 
de segurança da informação. 
 É o conjunto de princípios e objetivos para o processamento da informação que 
uma organização tem que desenvolver para apoiar suas operações. 
Respondido em 08/06/2021 21:54:01 
 
 
Compare com a sua resposta: 
 
3 
 Questão 
Acerto: 0,1 / 0,1 
 
 
Na gestão de risco, o registro da debilidade no sistema atual de proteção em relação a todas 
as ameaças em potencial, é realizado durante a atividade: 
 
 
análise de perdas. 
 vulnerabilidade dos ativos. 
 
avaliação dos ativos. 
 
análise de custo-benefício. 
 
análise de proteção. 
Respondido em 08/06/2021 21:54:28 
 
 
Compare com a sua resposta: 
Ciclo de Vida da Informação é Todo e qualquer momento vivido pela informação é 
designado de ciclo de vida da informação. Os momentos são vivenciados 
justamente quando os ativos físicos, tecnológicos e humanos fazem uso da 
informação. 
 
 
4 
 Questão 
Acerto: 0,0 / 0,1 
 
 
A política de Segurança da Informação (SI) é um instrumento 
utilizado por gestores de TI (Tecnologia da Informação) para 
prevenir que eventuais vulnerabilidades do negócio sejam 
exploradas por terceiros, através do roubo de dados ou invasões 
de infraestrutura, por exemplo. Ela é desenvolvida a partir de 
um conjunto de diretrizes que devem ser seguidas por todos os 
membros da organização, e que são definidas de acordo com o 
perfil do negócio. Esdras Moreira. 
Moreira afirma que a segurança da informação é desenvolvida a 
partir de um conjunto de diretrizes. Essas diretrizes são 
conhecidas como _______. e são baseadas nos princípios 
(principais) da _______, _______, _______ e _______ . 
Qual alternativa preenche as lacunas? 
 
 Posto de Segurança da Informação. Confidencialidade, 
Inconsistência, Disponibilidade e Autenticidade. 
 Pilares da Segurança da Informação. Conjectura da 
Informação, Integridade, Disponibilidade e 
Autenticidade. 
 Pilares da Segurança da Informação. 
Confidencialidade, Integridade, Disponibilidade e 
Autenticidade. 
 Pilares da Segurança da Informação. 
Confidencialidade, Inconsistência, Disponibilidade e 
Autenticidade. 
 Posto de Segurança da Informação. Confidencialidade, 
Integridade, Disponibilidade e Autenticidade. 
Respondido em 08/06/2021 21:57:11 
 
 
Compare com a sua resposta: 
 
5 
 Questão 
Acerto: 0,0 / 0,1 
 
 
Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e 
principalmente na forma como a tecnologia da informação tem apoiado as operações das 
empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de 
"Informação"? 
 
 
Pode conter aspectos estratégicos para a Organização que a gerou. 
 
É fundamental proteger o conhecimento gerado. 
 Deve estar indisponível sempre que solicitada. 
 É necessário disponibilizá-la para quem tem a real necessidade de 
conhecê-la. 
 
A informação é vital para o processo de tomada de decisão de qualquer 
corporação. 
 
 
1 
 Questão 
Acerto: 0,1 / 0,1 
 
 
A segurança da informação deve ser vista como algo estratégico dentro da organização. E a 
organização deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da 
organização criar um plano de gestão voltado para riscos é criando um Plano de Gestão de 
Risco (PGI). O PGI é composto por 4 fases, quais são elas? 
 
 
Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de 
vulnerabilidades; Mapeamento de impacto 
 Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; 
Comunicação do risco 
 
Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação 
do risco 
 
Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das 
vulnerabilidades; Comunicação do impacto 
 
Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco 
e Aceitação do risco 
Respondido em 08/06/2021 22:48:02 
 
 
Compare com a sua resposta: Implementar o SGSI (Sistema de Gestão de Segurança da 
Informação), servindo como guia prático para desenvolver os procedimentos de segurança 
da informação da organização e as eficientes práticas da gestão de segurança, e para ajudar 
a criar confiança nas atividades organizacionais. 
 
2 
 Questão 
Acerto: 0,1 / 0,1 
 
 
Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a 
informação, não acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo 
estará evitando como também prevenindo a concretização de possíveis ameaças. Baseado 
neste fato podemos denominar como Vulnerabilidade Física: 
 
 
Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, 
greves, roubo, furto, assalto, destruição de propriedades ou de dados, 
invasões, guerras, etc.). 
 
Acessos não autorizados ou perda de comunicação e a ausência de sistemas 
de criptografia nas comunicações. 
 
Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de 
umidade e de temperatura). 
 Instalações prediais fora dos padrões de engenharia e salas de servidores mal 
planejadas. 
 
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, 
tempestades, falta de energia). 
Respondido em 08/06/2021 22:47:43 
 
 
Compare com a sua resposta: Levantamento das informações ¿ Importantíssimo, pois se 
trata da fase em que é preciso localizar, através do rastreamento com vários mensageiros, 
exatamente onde está o inimigo, ou seja, a sua localização. Obtenção do acesso ¿ Procurar 
por falhas do inimigo, ou seja, locais onde estejam com menos concentração de soldados. ¿ 
Esta fase consiste no avanço e na penetração do terreno propriamente dita, ou seja, o 
ataque sincronizado com o outro general, através da troca de mensagens criptografadas. 
Nesta fase são exploradas as vulnerabilidades encontradas no exercito inimigo. Manutenção 
do acesso Aqui os generais tentarão manter seu próprio domínio sobre o inimigo já 
dominado. Nesta fase o exército do inimigo já estará dominado, frágil e comprometido. 
Camuflagem das evidências Esta fase consiste na atividade realizada pelo atacante de 
camuflar seus atos não autorizados, com o objetivo de prolongar sua permanência nas 
instalações do inimigo, sem deixar que desconfie quais foram as suas táticas usadas para 
obter o sucesso.3 
 Questão 
Acerto: 0,1 / 0,1 
 
 
O Técnico de Suporte identificou, em um computador, que os dados armazenados no disco 
haviam sido criptografados e foi apresentada uma mensagem solicitando um pagamento 
para restabelecer os dados. Baseado nesse cenário, o Técnico concluiu que o computador 
sofreu um ataque de código malicioso do tipo 
 
 ransomware 
 
spyware 
 
adware 
 
backdoors 
 
rootkits 
Respondido em 08/06/2021 22:46:39 
 
 
Compare com a sua resposta: 
 
4 
 Questão 
Acerto: 0,1 / 0,1 
 
 
As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que 
operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de 
profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google 
afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de 
ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos 
jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para 
contas desconhecidas. 
Qual você acha que foi a vulnerabilidade para este ataque? 
 
 
Vulnerabilidade Natural 
 
Vulnerabilidade 
Comunicação 
 
Vulnerabilidade Mídia 
 
Vulnerabilidade Física 
 Vulnerabilidade de 
Software 
Respondido em 08/06/2021 22:47:03 
 
 
Compare com a sua resposta: A prevenção: é o conjunto das medidas que visam reduzir a 
probabilidade de concretização das ameaças existentes. O efeito destas medidas extingue-se 
quando uma ameaça se transforma num incidente. A proteção: é o conjunto das medidas 
que visão dotar os sistemas de informação com capacidade de inspeção, detecção, reação e 
reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. 
Naturalmente, estas medidas só atuam quando ocorre um incidente. 
 
5 
 Questão 
Acerto: 0,1 / 0,1 
 
 
Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de 
de um ataque DDoS e foi descrito como o maior já sofrido pela empresa. Como resultado 
desse ataque, quase 18 MILHÕES de blogs, incluindo os que fazem parte do serviço VIP da 
empresa sofreram com problemas nos acessos. Entre eles, estão inclusos o Financial Post, o 
Nacional Post e o TechCrunch. O 
tamanho ataque alcançou vários Gigabits por segundo e alguns milhões de pacotes por 
segundo. Apesar do ataque ter atingido três data centers do Wordpress, a investigação 
suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. 
Qual você acha que foi a vulnerabilidade para este ataque? 
 
 Vulnerabilidade 
Software 
 
Vulnerabilidade Natural 
 
Vulnerabilidade Mídias 
 
Vulnerabilidade 
Comunicação 
 
Vulnerabilidade Física 
Respondido em 08/06/2021 22:46:00 
 
 
Compare com a sua resposta: A prevenção: é o conjunto das medidas que visam reduzir a 
probabilidade de concretização das ameaças existentes. O efeito destas medidas extingue-se 
quando uma ameaça se transforma num incidente. A proteção: é o conjunto das medidas 
que visão dotar os sistemas de informação com capacidade de inspeção, detecção, reação e 
reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. 
Naturalmente, estas medidas só atuam quando ocorre um incidente. 
 
1 
 Questão 
Acerto: 0,1 / 0,1 
 
 
O suporte técnico identificou que os dados armazenados no disco haviam sido criptografados 
e foi apresentada uma mensagem solicitando um pagamento para restabelecer os dados. 
Baseado nesse cenário, conclui-se que o computador sofreu um ataque de código malicioso 
do tipo: 
 
 
adware 
 
spyware 
 
rootkits 
 
backdoors 
 ransomware 
Respondido em 08/06/2021 22:49:37 
 
 
Compare com a sua resposta: 
Malware são programas que possuem propósito malicioso junto aos componentes de um 
ambiente computacional. 
Possuem objetivos diversos, mas em resumo, tentam infligir desarmonia em algum dos 
aspectos fundamentais de segurança da informação: disponibilidade, integridade, 
confidencialidade, autenticidade. 
 
2 
 Questão 
Acerto: 0,1 / 0,1 
 
 
Ao navegar pela Internet, deve-se tomar o cuidado para não ser vítima de um ataque 
conhecido como phishing. Uma das formas desse tipo de ataque é 
 
 o roubo de dados pessoais e/ou financeiros utilizando páginas web falsas de 
comércio eletrônico. 
 
a falsificação do certificado digital utilizado para acessar um site. 
 
o bloqueio do acesso a uma página web como se ela estivesse fora do ar. 
 
o roubo de dados pessoais como CPF e senha em comunicação que não utiliza o 
protocolo https. 
 
a modificação do conteúdo de páginas web para apresentar propaganda ou dados 
falsos. 
Respondido em 08/06/2021 22:50:05 
 
 
Compare com a sua resposta: 
 
 
3 
 Questão 
Acerto: 0,1 / 0,1 
 
 
É uma solução de segurança baseada em hardware ou software (mais comum) que, a partir 
de um conjunto de regras ou instruções, analisa o tráfego de rede para determinar quais 
operações de transmissão ou recepção de dados podem ser executadas: 
 
 
Sistema de Detecção de Intrusos 
 
Antivírus 
 Firewall 
 
Criptografia 
 
Honeypot 
Respondido em 08/06/2021 22:51:15 
 
 
Compare com a sua resposta: 
Firewall é um recurso utilizado para a segurança tanto de estações de trabalho como de 
servidores ou de toda uma rede de comunicação de dados. Esse recurso possibilita o 
bloqueio de acessos indevidos a partir de regras preestabelecidas. 
 
4 
 Questão 
Acerto: 0,1 / 0,1 
 
 
Trata-se de um malware que realiza o sequestro de servidores, ou seja, todo o seu 
conteúdo é criptografado, sendo solicitado para a liberação destes dados o pagamento 
de uma quantia, geralmente em bitcoin. Essas características remente-nos a qual 
malware? 
 
 Ransomware 
 
Trojan 
 
Spam 
 
Spyware 
 
Botnet 
Respondido em 08/06/2021 22:52:24 
 
 
Compare com a sua resposta: 
Malware são programas que possuem propósito malicioso junto aos componentes de um 
ambiente computacional. 
Possuem objetivos diversos, mas em resumo, tentam infligir desarmonia em algum dos 
aspectos fundamentais de segurança da informação: disponibilidade, integridade, 
confidencialidade, autenticidade. 
 
5 
 Questão 
Acerto: 0,1 / 0,1 
 
 
Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente 
ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo 
vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail 
shell". Foi um ataque orquestrado, não só para este site mas para varias instituições 
governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi 
utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais 
informativo, não comprometendo aos dados internos e criticos que não devem ser 
divulgados. 
Qual você acha que foi a vulnerabilidade para este ataque? 
 
 Vulnerabilidade 
Software 
 
Vulnerabilidade Física 
 
Vulnerabilidade Natural 
 
Vulnerabilidade 
Comunicação 
 
Vulnerabilidade Mídias 
Respondido em 08/06/2021 22:52:47 
 
 
Compare com a sua resposta: A prevenção: é o conjunto das medidas que visam reduzir a 
probabilidade de concretização das ameaças existentes. O efeito destas medidas extingue-se 
quando uma ameaça se transforma num incidente. A proteção: é o conjunto das medidas 
que visão dotar os sistemas de informação com capacidade de inspeção, detecção, reação e 
reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. 
Naturalmente, estas medidas só atuam quando ocorre um incidente. 
 
 
1 
 Questão 
Acerto: 0,1 / 0,1 
 
 
Tem como objetivo principal prover uma orientação e apoio da direção para a segurança da 
informação de acordo com requisitos do negócio e com as leis pertinentes. A afirmação está 
relacionada a que alternativa a seguir? 
 
 
 
Procedimentosde segurança da informação. 
 
Acordo de segurança de informação. 
 
Arquivo de segurança da informação. 
 Política de segurança da informação. 
 
Contrato de segurança da informação. 
Respondido em 08/06/2021 22:57:20 
 
 
Compare com a sua resposta: 
Sistema de Gestão de Segurança da Informação, Linhas gerais e vocabulário 
 
2 
 Questão 
Acerto: 0,1 / 0,1 
 
 
Em conformidade com as normas NBR 15999 e ABNT NBR 15999-2, um 
plano de continuidade de negócios deve conter: 
 
 Uma lista estruturada e priorizada de ações e tarefas que apresente a forma como 
o plano é ativado. 
 
A definição dos controles técnicos que mitigam os riscos de segurança da 
informação. 
 
A definição da equipe de pessoas responsáveis pela operação do programa de 
continuidade. 
 
A análise e a avaliação dos riscos de segurança da informação que afetam os ativos 
organizacionais. 
 
Uma lista das vulnerabilidades presentes nos ativos de processos organizacionais. 
Respondido em 08/06/2021 22:57:53 
 
 
Compare com a sua resposta: 
Conformidade é um conceito relacionado à adesão dos sistemas de informação às políticas e 
às normas organizacionais de segurança da informação. 
 
3 
 Questão 
Acerto: 0,1 / 0,1 
 
 
De acordo com as Normas ABNT NBR ISO/IEC 27001:2013 e 27002:2013, para manter a 
segurança da informação, são objetivos de controle os seguintes itens, EXCETO: 
 
 
Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a 
sistemas e a serviços. 
 
Prevenir a divulgação não autorizada, modificação, remoção ou destruição da 
informação armazenada nas mídias. 
 Assegurar a integridade e a correta execução dos processos de negócio. 
 
Assegurar o uso efetivo e adequado da criptografia para proteger a 
confidencialidade, autenticidade e/ou integridade da informação. 
 
Prevenir o acesso físico não autorizado, danos e interferências aos recursos de 
processamento das informações e as informações da organização. 
Respondido em 08/06/2021 22:58:16 
 
 
Compare com a sua resposta: 
A execução correta dos procedimentos de segurança da informação, em conformidade com 
normas e com a política de segurança da empresa, deve ser garantida pelos vários gestores, 
cada um em sua área. 
 
4 
 Questão 
Acerto: 0,1 / 0,1 
 
 
A norma ABNT NBR ISO/IEC 27001:2013 apresenta como anexo uma tabela com controles 
e objetivos de controle alinhados com os existentes na norma ABNT NBR ISO/IEC 
27002:2013. Uma colaboradora de nível técnico, utilizando os controles relacionados à 
segurança em processos de desenvolvimento e de suporte dessa tabela deve saber que: 
 
 programas de testes de aceitação e critérios relacionados devem ser 
estabelecidos para novos sistemas de informação, atualizações e novas 
versões. 
 
mudanças em sistemas dentro do ciclo de vida de desenvolvimento devem ser 
controladas por procedimentos informais de controle de mudanças. 
 
a organização não deve contratar empresas terceirizadas para realizar 
atividades de desenvolvimento de sistemas de informação. 
 
testes de funcionalidade de segurança devem ser realizados somente 
quando o sistema estiver pronto. 
 
modificações em pacotes de software devem ser encorajadas e não devem 
estar limitadas apenas às mudanças necessárias, porém, todas as mudanças 
devem ser documentadas. 
Respondido em 08/06/2021 22:58:38 
 
 
Compare com a sua resposta: 
Boas práticas para controles de segurança da informação 
 
5 
 Questão 
Acerto: 0,1 / 0,1 
 
 
Segundo a norma NBR ISO/IEC 27001:2013, no que se refere ao monitoramento da eficácia 
do sistema de gestão de segurança da informação, a organização deve determinar os seguintes 
elementos, exceto: 
 
 
Quando o monitoramento e medição devem ser realizados. 
 
Quem deve analisar e avaliar estes resultados. 
 
Quando os resultados do monitoramento e da medição devem ser analisados 
e avaliados. 
 
O que precisa ser monitorado e medido. 
 Quanto deve custar o monitoramento e medição. 
Respondido em 08/06/2021 22:59:02 
 
 
Compare com a sua resposta: 
Boas práticas para controles de segurança da informação