GERENCIAMENTO DA SEGURANÇA DA INFORMAÇÃO-AVALIAÇÃO

Prévia do material em texto

GERENCIAMENTO DA SEGURANÇA DA INFORMAÇÃO 
AVALIAÇÃO 
 Pergunta 1 0,7 em 0,7 pontos 
 
Está sendo amplamente divulgado em meios de comunicação o termo hacker, que 
descreve o indivíduo mal-intencionado com conhecimento para invadir sistemas de 
computação sem a devida autorização. Dentre os conceitos existentes, existe o hacker 
conhecido como aspirante, com capacidade média de conhecimento e que pode 
evoluir. Como ele é chamado? 
 
Resposta Selecionada: c. Gray-hat 
Respostas: a. White-hat 
 b. Black-hat 
 
c. Gray-hat 
 d. Blue-hat 
 e. Pink-hat 
Feedback da 
resposta: 
Resposta: alternativa c. 
Comentário: o gray-hat é o conhecido como aspirante, tem capacidade 
média e pode em algum momento se tornar um black-hat ou um white-hat. 
LT2, página 12. 
 
 
 Pergunta 2 0,7 em 0,7 pontos 
 
Com relação à classificação dos dados dentro da organização, qual é o ciclo de vida do 
dado? 
 
Resposta Selecionada: a. Produção, armazenamento, transferência e descarte 
Respostas: a. Produção, armazenamento, transferência e descarte 
 
b. Guarda, entrega, recebimento e envio 
 c. Proteção, prevenção, redução e expansão 
 
d. Evolução, redução, envio e entrega 
 e. Proteção, envio, entrega e recebimento 
Feedback da 
resposta: 
Resposta: alternativa a. 
Comentário: o ciclo de vida da informação perfaz sua utilização desde a 
produção, a forma de armazenamento, a forma de transferência e até 
quando deixa de ter utilidade (seu descarte). LT2, página 10. 
 
 
 Pergunta 3 0,7 em 0,7 pontos 
 
As políticas, além de definirem os controles e contramedidas de segurança, são 
utilizadas para acompanhar as leis e regulamentações pertinentes aos negócios da 
organização. Quando falamos de uma política que defina de forma clara quais ações 
são ou não permitidas na utilização dos ativos de TI, dentro da organização ou fora 
dela, com ativos pertencentes a ela, estamos falando da: 
 
Resposta Selecionada: b. política de uso aceitável 
Respostas: a. política de conscientização de segurança 
 b. política de uso aceitável 
 
c. política de classificação de ativo 
 
 d. política de proteção de ativo 
 
e. política de gerenciamento de ativo 
Feedback da 
resposta: 
Resposta: alternativa b. 
Comentário: a política de uso aceitável ou Acceptable Use Policy (AUP) 
deve definir de forma clara quais ações são ou não permitidas na 
utilização dos ativos de TI. LT2, página 9. 
 
 Pergunta 4 0,7 em 0,7 pontos 
 
Quais são os três princípios de segurança da informação que devem ser mantidos? 
Resposta Selecionada: e. Disponibilidade, integridade e confidencialidade 
Respostas: a. Ação, reação e repúdio 
 
b. Risco, vulnerabilidade e ameaças 
 c. Protocolo, rede e WAN 
 
d. Valor, segurança e acesso 
 e. Disponibilidade, integridade e confidencialidade 
Feedback da 
resposta: 
Resposta: alternativa e. 
Comentário: disponibilidade (a informação deve estar disponível a quem de 
direito), integridade (a informação deve estar íntegra na sua utilização) e 
confidencialidade (a informação só pode estar disponível para quem tiver 
direito de acesso). Unidade I, página 11. 
 
 
 Pergunta 5 0,7 em 0,7 pontos 
 
É reconhecida como um ponto fraco que permita a concretização da ameaça, isto é, 
que a ameaça tenha efeito sobre um ativo. Estamos nos referindo a: 
 
Resposta Selecionada: e. vulnerabilidade 
Respostas: a. segurança 
 
b. integridade 
 c. risco 
 
d. impacto 
 e. vulnerabilidade 
Feedback da 
resposta: 
Resposta: alternativa e. 
Comentário: a vulnerabilidade é reconhecida como o ponto mais fraco que 
permita que a ameaça possa ser concretizada, possa ter efeito sobre o 
ativo. Unidade I, página 10. 
 
 
 Pergunta 6 0,7 em 0,7 pontos 
 
Quando analisamos a estrutura de uma política de segurança da informação, 
verificamos a necessidade de quatro componentes principais. Qual das indicações 
abaixo não é um desses componentes? 
 
Resposta Selecionada: c. Plano de segurança 
Respostas: a. Política 
 b. Padrão 
 
c. Plano de segurança 
 
 d. Procedimentos 
 
e. Diretrizes 
Feedback da 
resposta: 
Resposta: alternativa c. 
Comentário: dos itens apresentados, plano de segurança não é um desses 
elementos, sendo que se trata de uma estratégia para reduzir os riscos e 
não um componente para a política de segurança. LT2, páginas 7 e 8. 
 
 Pergunta 7 0,7 em 0,7 pontos 
 
Na análise de risco que se faz em uma empresa, quando temos ações que possam 
danificar um bem ou sistemas de informação, sendo elas naturais ou induzidas por 
humanos, estamos falando de: 
 
Resposta Selecionada: c. ameaças 
Respostas: a. vulnerabilidade 
 
b. risco 
 c. ameaças 
 
d. invasões 
 e. fraudes 
Feedback da 
resposta: 
Resposta: alternativa c. 
Comentário: ameaças podem ser classificadas como uma ação que possa 
danificar um bem ou um sistema. Podem ser humanas ou naturais. 
Unidade I, página 9. 
 
 
 Pergunta 8 0,7 em 0,7 pontos 
 
Quando estamos calculando o SLA de uma operação, considerando o mês padrão de 
30 dias e um tempo de parada permitido de 2 horas, teremos um percentual de 
disponibilidade de: 
 
Resposta Selecionada: c. 99,72% 
Respostas: a. 98,96% 
 
b. 99,68% 
 c. 99,72% 
 d. 101,86% 
 
e. 97,87% 
Feedback da 
resposta: 
Resposta: alternativa c. 
Comentário: Utilizando a formula para calcular a disponibilidade, ou 
seja, 
Unidade I, página 14. 
 
 
 Pergunta 9 0,7 em 0,7 pontos 
 
Em ocorrências de ciberataques, indivíduos mal-intencionados podem utilizar 
ferramentas de ataque, como sistemas com a finalidade de coletar informações sobre 
quaisquer pontos fracos em equipamentos ou mesmo redes de computadores. Quais 
ferramentas são essas? 
 
Resposta Selecionada: d. Programas para varredura (scanners) de vulnerabilidades 
Respostas: a. Programas de varredura de porta 
 
 b. Farejadores (sniffers) 
 
c. Programas discadores (wardialers) 
 d. Programas para varredura (scanners) de vulnerabilidades 
 
e. Programas de captura de teclado (keyloggers) 
Feedback da 
resposta: 
Resposta: alternativa d. 
Comentário: os programas de varredura de vulnerabilidades, coletam 
informações sobre os pontos fracos em equipamentos. LT2, páginas 12 e 
13. 
 
 Pergunta 10 0,7 em 0,7 pontos 
 
O plano de recuperação de desastres estabelece como a empresa pode retomar suas 
atividades após a ocorrência de um grande desastre como, por exemplo, um incêndio 
ou um furacão. Também temos um sistema cujo objetivo é manter os negócios. Ele 
focaliza as funções que a empresa precisa manter. Neste caso, estamos falando do? 
 
Resposta Selecionada: b. BCP 
Respostas: a. PDCA 
 
b. BCP 
 c. TQT 
 
d. BI 
 e. BIA 
Feedback da 
resposta: 
Resposta: alternativa b. 
Comentário: Estamos falando do BPC ou Business Continuity Planning, 
plano de continuidade de negócios. Unidade I, página 9.