SIMULADO ---- INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

1.
		Na questão que avalia conhecimento de informática, a menos que seja explicitamente informado o contrário, considere que: todos os programas mencionados estejam em  configuração‐padrão, em português; o mouse esteja configurado para pessoas destras;  expressões, como clicar, clique simples e clique duplo se refiram a cliques com o botão esquerdo do mouse; e teclar corresponda à operação de pressionar uma tecla e, rapidamente, liberá‐la, acionando‐a apenas uma vez. Considere, também, que não haja restrições de proteção, de funcionamento e de uso em relação aos programas, arquivos, diretórios, recursos e equipamentos mencionados.
Assinale a alternativa que apresenta procedimento de segurança da informação que pode ser adotado pelas organizações.
	
	
	
	Realizar, periodicamente, análises de riscos, com o objetivo de contemplar as mudanças nos requisitos de segurança da informação
	
	
	Não envolver a direção com a segurança da informação, tendo em vista que ela já possui diversas outras atribuições
	
	
	Descartar o inventário dos ativos, caso a organização possua
	
	
	Direcionar os funcionários apenas para o exercício de suas funções diárias, pois treinamentos em segurança da informação ou outros eventos relacionados devem ser evitados
	
	
	
	
	
	Conceder aos funcionários o acesso completo aos sistemas e à rede (intranet) da organização
	
Explicação:
.
	
	
	 
		
	
		2.
		Medidas adotadas relacionadas à senha na BIOS são consideradas como medidas de:
	
	
	
	Segurança da informação
	
	
	Segurança Lógica
	
	
	Segurança Física
	
	
	Segurança Virtual
	
	
	Segurança Cibernética
	
Explicação:
Como pode ser observado no Módulo 2 do Tema 1, às medidas baseada em hardware, como a BIOS, são consideradas Segurança Física.
	
	
	 
		
	
		3.
		Assinale a assertiva que NÃO representa um dos benefícios para a adoção da norma ABNT NBR ISO/IEC 27001:2013 por uma organização:
	
	
	
	Participação da gerência na Segurança da Informação
	
	
	Isola recursos com outros sistemas de gerenciamento
	
	
	Mecanismo para minimizar o fracasso do sistema
	
	
	Oportunidade de identificar e eliminar fraquezas
	
	
	Fornece segurança a todas as partes interessadas
	
	
	 
		
	
		4.
		Sobre os conceitos inerentes à norma ISO/IEC 27001, analise as assertivas abaixo.
 
I. Um processo definido para validar, implementar, manter e gerenciar a segurança da informação.
II. Uma metodologia estruturada reconhecida internacionalmente dedicada à segurança da informação.
III. Uma metodologia de avaliação de equipamento.
IV. Desenvolvido pelas empresas para as empresas.
Pode-se dizer que estão corretas somente:
	
	
	
	I, II e III
	
	
	I, II e IV
	
	
	II e IV
	
	
	III
	
	
	I e IV
	
Explicação:
A ISO/IEC 27001 é a norma que define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI),sendo a principal norma que uma organização deve utilizar como base para obter a certificação empresarial em gestão da segurança da informação. 
Neste contexto não é considerada como uma metodoloigia de avaliação de equipamentos.
	
	
	 
		
	
		5.
		Dentre as opções a seguir, qual Norma Técnica apresenta um código de prática para a gestão da segurança da informação?
	
	
	
	ABNT NBR ISO 14001:2004
	
	
	ABNT NBR ISO 9001:2008
	
	
	ABNT NBR ISO/IEC 27001:2013
	
	
	ABNT NBR ISO/IEC 27002:2013
	
	
	ABNT NBR ISO/IEC 20000-1:2011
	
Explicação:
Questão enviada pela EAD para inserção.
	
	
	 
		
	
		6.
		Quanto mais complexa for uma senha, mais difícil será para o invasor quebrá-la com o uso de programas, exclusivamente.
Levando em consideração essa afirmação, selecione a opção que possui a senha com maior grau de dificuldade de ser descoberta por um invasor:
	
	
	
	X1234Y1
	
	
	MaRiA96
	
	
	69910814sa
	
	
	SeNhA123
	
	
	aX1!@7s5
	
	
	 
		
	
		7.
		Normalmente quando o assunto segurança da informação¿ é discutido, as pessoas acabam associando o tema a hackers, vulnerabilidade em sistemas e vazamento de informações. E limitam-se a acreditar que é necessário apenas um bom antivírus e firewalls para proteger o ambiente tecnológico. No entanto, a segurança da informação não se limita apenas a estes pontos. Há outros aspectos que precisam ser considerados também.
Diante deste contexto, pode-se esclarecer que o ponto de partida de qualquer sistema de segurança é garantir o acesso a dados, equipamentos, demais sistemas e ambientes físicos e eletrônicos aos indivíduos autorizados. A esta característica dá-se o nome de (I) e a forma mais simples de oferecê-la é por meio do login e da senha de acesso.
No texto acima, (I) refere-se a:
	
	
	
	Não repúdio.
	
	
	 Autenticidade
	
	
	Integridade
	
	
	Confidencialidade
	
	
	Disponibilidade
	
Explicação:
Autenticidade é a particularidade ou estado do que é autêntico. Natureza daquilo que é real ou verdadeiro; estado do que é genuíno; verdadeiro: autenticidade de que aquele acesso foi realizado por aquele usuário.
	
	
	 
		
	
		8.
		¿A informação em conjunto com recursos tecnológicos é uma necessidade para o funcionamento tático, estratégico e operacional de qualquer empresa. Para vencer no mundo dos negócios, é preciso saber obter a informação como ferramenta estratégica de competitividade. Precisamos saber onde encontrar a informação, como apresentá-la e como usá-la, assim como é fundamental conhecê-la. Precisamos estar sempre atentos ao que acontece fora e dentro das organizações.¿ (Trecho consultado em 02/10/20, extraído de < https://administradores.com.br/producao-academica/a-importancia-da-informacao>)
O trecho acima reflete parte da relevância da informação no contexto organizacional. Mas sabemos que usualmente há equívoco na definição dos conceitos de Dados, Informação e Conhecimento. Diante do exposto, assinale a alternativa que os elucida corretamente.
	
	
	
	Dado é um fato bruto não lapidado; II. Informação depende da interpretação pessoal de cada indivíduo; III. Conhecimento é a junção de dados que foram contextualizados. 
	
	
	Dado depende da interpretação pessoal aliada às vivências de cada indivíduo; II. Informação é a junção de dados que foram contextualizados; III. Conhecimento é a junção de informações não lapidadas.
	
	
	Dado é um fato bruto não lapidado; II. Informação é a junção de dados que foram contextualizados; III. Conhecimento é pessoal, isto é, depende da interpretação das informações juntamente com as vivências/experiências pessoais.
	
	
	Dado é um fato bruto não lapidado; II. Informação depende da interpretação pessoal de cada indivíduo sobre dados agrupados; III. Conhecimento é representado pelo agrupamento dos dados.
	
	
	Dado é formado por um conjunto de informações contextualizadas; II. Informação é um fato bruto não lapidado; III. Conhecimento é pessoal, isto é, depende da interpretação das informações juntamente com as vivências/experiências pessoais.
	
Explicação:
O dado pode ser considerado o valor de determinada medida sem uma contextualização e, portanto, sem valor para ser aplicado ou tratado. No momento em que um dado é contextualizado, ou seja, é atribuído a um contexto ou a uma situação, torna-se uma informação, consequentemente obtendo valor.
Ou seja, a informação, que é o dado contextualizado, precisa de proteção em todo o seu ciclo de vida.
Conhecimento é pessoal, isto é, depende da interpretação das informações juntamente com as vivências/experiências pessoais.
	
	
	 
		
	
		9.
		O risco residual será assim classificado quando não existir uma resposta adequada ao risco ou se ele for considerado mínimo.
Mesmo assim, sua avaliação deverá passar pela etapa de:
	
	
	
	Monitoramento e análise crítica de riscos
	
	
	Marcação do critério
	
	
	Aceitação do crivo
	
	
	Tratamento do risco
	
	
	Comunicação e consulta do risco
	
	
	 
		
	
		10.
		Em relação à biblioteca ITIL (Information Technology Infrastructure Library),selecione a opção correta:
	
	
	
	Aborda todas as necessidades dos negócios da empresa.
	
	
	É aplicada apenas no plano de continuidade dos negócios.
	
	
	Concentra-se no alinhamento de serviços de TI com as necessidades dos negócios
	
	
	Não pode ser aplicada em nenhum aspecto do plano de continuidade dos negócios.
	
	
	Junto com o plano de recuperação de desastres, tem um papel reativo quando ocorrem problemas.
SIMULADO 
		1a
          Questão
	Acerto: 1,0  / 1,0
	
	No que tange a informação, o ciclo seu ciclo de vida é composto pelas seguintes etapas:
		
	
	Manuseio, Criação, Transporte e Descarte;
	 
	Criação, Transporte, Manuseio e Descarte;
	
	Transporte, Manuseio, Descarte e Criação;
	
	Criação, Manuseio, Transporte e Descarte;
	
	Manuseio, Transporte, Criação e Descarte;
	Respondido em 08/06/2021 15:45:46
	
	Explicação:
Como pode ser observado no Módulo 1 do Tema 1, por se tratar de um dado contextualizado, a informação possui o seguinte ciclo de vida: Criação, Transporte, Manuseio e Descarte.
	
		2a
          Questão
	Acerto: 1,0  / 1,0
	
	(Ano: 2009 Banca: FCC Órgão: TCE-GO Prova: FCC - 2009 - TCE-GO - Técnico de Controle Externo - Tecnologia da Informação)
Em relação à segurança da informação e aos controles de acesso físico e lógico, considere:
I. Se um usuário não faz mais parte a lista de um grupo de acesso aos recursos de processamento da informação, é certo que o grupo seja extinto com a criação de um novo, contendo os usuários remanescentes.
II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo trabalho devem ser retirados ou adaptados, incluindo chaves e qualquer tipo de identificação que associe a pessoa ao novo projeto.
III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve ser controlado e restrito às pessoas autorizadas, preferencialmente por controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number).
Está correto o que se afirma em:
		
	
	I, II e III.
	
	III, apenas.
	 
	II e III, apenas.
	
	I e III, apenas.
	
	I e II, apenas.
	Respondido em 08/06/2021 15:46:50
	
		3a
          Questão
	Acerto: 1,0  / 1,0
	
	(FUNDATEC - 2019 - Prefeitura de Gramado - RS - Analista de Sistema) Em relação a códigos maliciosos (malwares), analise as assertivas a seguir:
I. Vírus é uma categoria de malware que pode ser infectado através de pen drives e outros dispositivos, porém não pode ser propagado por e-mail.
II. Um worm é capaz de se propagar automaticamente em redes de computadores e não se propaga por meio da inclusão de cópias de si mesmo em outros programas.
III. Um computador denominado zumbi é aquele que pode ser controlado remotamente, sem o conhecimento do seu dono.
IV. Spyware é um programa que pode ser utilizado apenas de forma maliciosa, não sendo permitida a utilização de forma legítima.
Quais estão corretas?
		
	
	Apenas I e II
	 
	Apenas II e III
	
	Apenas III e IV
	
	I, II, III e IV
	
	Apenas II, III e IV
	Respondido em 08/06/2021 15:49:45
	
	Explicação:
.
	
		4a
          Questão
	Acerto: 1,0  / 1,0
	
	O item 12.2.1 da norma ABNT NBR ISO/IEC 27002:2013 diz respeito aos controles contra malware, cujas diretrizes para implementação recomendam a proteção contra códigos maliciosos baseada em softwares de detecção de malware e reparo, na conscientização da informação, no controle de acesso adequado e nos planos de continuidade de negócio.
Com base no acima exposto, e no seu conhecimento de segurança da informação e sistemas de computação, marque a alternativa que possui uma das diretrizes recomendadas
		
	
	Estabelecer uma política informal proibindo o uso de softwares autorizados
	 
	Estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas preventivas devem ser adotadas
	
	Conduzir análises informais, esporádicas e descompromissadas dos softwares e dados dos sistemas que suportam processos críticos de negócio
	
	Ignorar informalmente a presença de quaisquer arquivos não aprovados ou atualização não autorizada
	
	Instalar e atualizar regularmente softwares de detecção e remoção de malware, independentemente da fabricante, procedência e confiabilidade, para o exame de computadores e mídias magnéticas
	Respondido em 08/06/2021 15:50:41
	
	Explicação:
.
	
		5a
          Questão
	Acerto: 1,0  / 1,0
	
	Um funcionário estava varrendo o chão da sala de uma empresa, na qual se encontra um servidor de domínio de rede local, quando não reparou que o cabo de rede que conecta ele ao roteador presente no outro lado da sala estava solto passando pelo chão, e então acabou por puxar o cabo com a vassoura, arrancando-o da placa de rede do servidor.
Segundo a norma ABNT NBR ISO/IEC 27002:2013, o responsável pela segurança do servidor deixou de colocar em prática o controle relacionado à
		
	 
	Segurança do cabeamento
	
	Inventário dos ativos
	
	Segregação de funções
	
	Gerenciamento de senha de usuário
	
	Acordo de confidencialidade
	Respondido em 08/06/2021 15:51:40
	
		6a
          Questão
	Acerto: 1,0  / 1,0
	
	Uma forma de se proteger em relação aos vírus é através do uso de programas antivírus que procuram por padrões para detectar e eliminá-los. Cada vírus tem uma estratégia para tentar evitar sua identificação. Selecione a opção que apresenta o vírus que faz o antivírus acreditar que o programa mal-intencionado está em outro lugar que não seja a sua localização real.
		
	 
	Vírus blindado.
	
	Vírus stealth.
	
	Polimórfico.
	
	Cavalo de Troia.
	
	Mutante.
	Respondido em 08/06/2021 15:52:30
	
	Explicação:
Questão enviada pela EAD para inserção.
	
		7a
          Questão
	Acerto: 1,0  / 1,0
	
	Um ataque de negação de serviço tenta afetar a disponibilidade de um ativo inundando, por exemplo, um servidor de aplicação em rede com mais dados do que é capaz de processar por unidade de tempo.
Se, dentro do domínio do servidor, existir uma ferramenta que reaja a um ataque de negação de serviço, ela será classificada como uma medida de controle:
		
	
	Limitadora
	
	Recuperadora
	
	Preventiva
	
	Detectora
	 
	Reativa
	Respondido em 08/06/2021 15:53:21
	
	Explicação:
Questão enviada pela EAD para inserir direto no sistema.
	
		8a
          Questão
	Acerto: 1,0  / 1,0
	
	Selecione a opção que contenha os pilares de um negócio:
		
	
	Componentes, planos de continuidade e de recuperação de desastre.
	 
	Unidades, processos e componentes de negócios e ativos.
	
	ITIL, PDCA (Plan-Do-Check-Act) e PCN (Plano de Continuidade).
	
	Tecnologia da Informação, Recursos Humanos e Infraestrutura interna.
	
	Plano de Contingência,  Plano de Recuperação de Desastres e Plano de Continuidade Operacional.
	Respondido em 08/06/2021 15:53:53
	
	Explicação:
.
	
		9a
          Questão
	Acerto: 0,0  / 1,0
	
	O PDCA é um instrumento muito importante para desenvolver um plano de continuidade de negócios (PCN). Selecione a opção que é responsável por realizar a melhoria contínua do plano de continuidade de negócios:
		
	
	D - Executar.
	 
	P - Planejar.
	
	C - Checar.
	
	O PDCA não é adequado para o PCN.
	 
	A - Agir.
	Respondido em 08/06/2021 15:54:54
	
	Explicação:
Agir - esta é a fase em que se adota o plano aplicado como padrão. Caso algo não tenha saído como planejado, é hora de agir corretivamente sobre os pontos que impossibilitaram o alcance de todas as metas estipuladas.
Com a análise de dados completa, é preciso passar para a realização dos ajustes necessários, corrigindo falhas, implantando melhorias imediatas e fazendo com que o Ciclo PDCA seja reiniciado, visando aprimorar ainda mais o trabalho da equipe.
	
		10a
          Questão
	Acerto: 1,0  / 1,0
	
	O Risco é um conceito importante quando se trata do Plano de Continuidade deNegócios (PCN). A respeito do Risco, selecione a opção correta:
		
	 
	Possível evento que pode causar perdas ou danos, ou dificultar o atingimento de objetivos.
	
	Evento súbito e imprevisto que provoca grandes perdas ou danos a uma organização.
	
	Normalmente não podem ser controlados.
	
	Não pode ser analisado em termos probabilísticos, uma vez que sempre está presente.
	
	É um conceito abstrato e com baixa chance de se transformar em um desastre.
	Respondido em 08/06/2021 15:56:39
	
	Explicação:
O risco é qualquer evento que possa causar impacto na capacidade de empresas atingirem seus objetivos de negócio. Probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização.