Baixe o app para aproveitar ainda mais
Prévia do material em texto
A Gestão da segurança da informação Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta situação? Abstrato Ativo Passivo Intangível Tangível Respondido em 03/06/2021 11:44:00 2 Questão As informações devem cumprir alguns requisitos, dentre os quais: I. Autenticação: refere-se a proteger a informação de ser lida ou copiada por qualquer um que não está explicitamente autorizado pelo proprietário da informação II. Confidencialidade: irá definir que as partes envolvidas na comunicação sejam autenticadas, a fim de garantir que cada uma delas seja realmente quem diz ser III. Consistência: assegura que o sistema comporta-se como esperado pelos usuários autorizados. Se o software ou hardware repentinamente começa a se comportar de maneira radicalmente diferente daquele que se costuma comportar, especialmente após uma atualização ou a reparação de um erro, pode ocorrer um "desastre" IV. Disponibilidade: irá definir que as informações devidas estarão disponíveis para seus respectivos usuários. Aqui cabe uma ressalva: para garantir esta disponibilidade da informação somente para o usuário devido, deve-se implementar controles de acesso, a fim de conter usuários não autorizados Após a leitura das asserções, assinale a alternativa correta. Somente as asserções II, III e IV estão corretas Somente as asserções I, II e III estão corretas Somente as asserções I e II estão corretas Somente as asserções III e IV estão corretas Somente as asserções I, II e IV estão corretas Respondido em 03/06/2021 11:49:04 Explicação: Autenticação: irá definir que as partes envolvidas na comunicação sejam autenticadas, a fim de garantir que cada uma delas seja realmente quem diz ser Confidencialidade:refere-se a proteger a informação de ser lida ou copiada por qualquer um que não está explicitamente autorizado pelo proprietário da informação Consistência: assegura que o sistema comporta-se como esperado pelos usuários autorizados. Se o software ou hardware repentinamente começa a se comportar de maneira radicalmente diferente daquele que se costuma comportar, especialmente após uma atualização ou a reparação de um erro, pode ocorrer um "desastre" Disponibilidade: irá definir que as informações devidas estarão disponíveis para seus respectivos usuários. Aqui cabe uma ressalva: para garantir esta disponibilidade da informação somente para o usuário devido, deve-se implementar controles de acesso, a fim de conter usuários não autorizados 3 Questão Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Disponibilidade Integridade Auditoria Privacidade Confidencialidade Respondido em 03/06/2021 11:49:48 4 Questão Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da Informação: Tudo aquilo que não possui valor específico. Tudo aquilo que a empresa usa como inventario contábil. Tudo aquilo que não manipula dados. Tudo aquilo que tem valor para a organização. Tudo aquilo que é utilizado no Balanço Patrimonial. Respondido em 03/06/2021 11:50:24 5 Questão O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; Respondido em 03/06/2021 11:51:04 6 Questão Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedade e que permitem a organização deste ativos em grupos com características semelhantes no que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções abaixo define a classificação dos tipos de ativos? Contábil e Não Contábil. Tangível e Intangível. Material e Tangível. Tangível e Físico. Intangível e Qualitativo. Respondido em 03/06/2021 11:51:44 7 Questão Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos dizer que: A afirmativa é verdadeira somente para ameaças identificadas. A afirmativa é verdadeira somente para vulnerabilidades físicas. A afirmativa é verdadeira. A afirmativa é verdadeira somente para vulnerabilidades lógicas. A afirmativa é falsa. Respondido em 03/06/2021 11:52:21 8 Questão O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de "Informação"? Por si só não conduz a uma compreensão de determinado fato ou situação; Possui valor e deve ser protegida; Pode habilitar a empresa a alcançar seus objetivos estratégicos; É dado trabalhado, que permite ao executivo tomar decisões; É a matéria-prima para o processo administrativo da tomada de decisão; De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de segurança¿, podemos dizer que: A afirmação é somente falsa para as empresas privadas. A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. A afirmação é somente verdadeira para as empresas privadas. A afirmação é falsa. A afirmação é verdadeira. Respondido em 03/06/2021 12:16:53 2 Questão Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Integridade; Confidencialidade; Disponibilidade; Não-repúdio; Privacidade; Respondido em 03/06/2021 12:17:23 3 Questão A informação terá valor econômico para uma organização se ela gerar lucro ou se for alavancadora de vantagem competitiva. Neste sentido devemos proteger os diferentes momentos vividos por esta informação que a colocam em risco. Os momentos que colocam em risco esta informação e que chamamos de ciclo de vida são: (Assinale a alternativa I N C O R R ET A). Manuseio. Transporte. Descarte. Consultoria. Armazenamento. Respondido em 03/06/2021 12:17:53 Gabarito Comentado 4 Questão Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que as informações enviadas por ele ao banco e as enviadas do banco para ele são originais, ou seja, não foram alteradas durante a transmissão? Neste caso estamos falando de: Autenticação Não-repúdio Integridade Disponibilidade Confidencialidade Respondido em 03/06/2021 12:18:24 Gabarito Comentado 5 Questão Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como o banco pode garantir-se de que, posteriormente, João venha a afirmar que não foi ele quem fez o acesso? Neste caso estamos falando de: Confidencialidade Não-repúdio Integridade Autenticação Disponibilidade Respondido em 03/06/2021 12:18:47 Gabarito Comentado 6 Questão A assinatura digital permite comprovar a autenticidade e ______________ de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. a confidencialidade a legalidade o não-repúdio a integridade a disponibilidade Respondido em 03/06/2021 12:19:13 7 Questão Sobre o conceito: " [...] é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em desiquilíbrio operacional e, eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo". Tal conceituação refere-se a qual tipo de informação, no que tange ao nível de prioridade da mesma, segundo Wadlow (2000)? Informação Interna Informação Pública Nenhuma das alternativas anteriores Informação confidencial Informação secreta Respondido em 03/06/2021 12:20:53 8 Questão Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de ¿Ativo de Informação¿? São aqueles que produzem, processam, transmitem ou armazenam informações. São aqueles tratam, administram, isolam ou armazenam informações. São aqueles que constroem, dão acesso, transmitem ou armazenam informações. São aqueles que produzem, processam, reúnem ou expõem informações. São aqueles que organizam, processam, publicam ou destroem informações. Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. Respondido em 03/06/2021 12:50:43 Gabarito Comentado 2 Questão A empresa de segurança cibernética IntelCrawler descobriu no dia 17 de janeiro de 2014 ao menos seis ataques em andamento contra varejistas nos Estados Unidos cujos sistemas de cartão de crédito estão infectados com o mesmo tipo de software malicioso usado para roubar dados de cerca de 40 milhões de cartões de crédito da rede Target. O software malicioso que foi usado para tal feito foi o BlackPOS. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Natural. Vulnerabilidade Física. Vulnerabilidade de Mídias. Vulnerabilidade de Comunicação. Vulnerabilidade Software. Respondido em 03/06/2021 12:51:20 Gabarito Comentado 3 Questão Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas tentativas de invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade de Comunicação. Vulnerabilidade de Mídias. Vulnerabilidade de Software. Vulnerabilidade Física. Vulnerabilidade Natural. Respondido em 03/06/2021 12:53:02 4 Questão Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade. Rede elétrica instável. Sistema operacional desatualizado. Firewall mal configurado. Links sem contingência. Funcionário desonesto. Respondido em 03/06/2021 12:53:25 Gabarito Comentado 5 Questão O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? Problema Ameaça Dependência Risco Vulnerabilidade Respondido em 03/06/2021 12:54:11 Gabarito Comentado 6 Questão As ________________________ por si só não provocam acidentes, pois são elementos __________, para que ocorra um incidente de segurança é necessário um agente causador ou uma condição favorável que são as ___________________. Vulnerabilidades, ativos, ameaças Ameaças, ativos, vulnerabilidades Ameaças, essenciais, vulnerabilidades Vulnerabilidades, passivos, ameaças Ameaças, passivos, vulnerabilidades Respondido em 03/06/2021 12:54:25 Gabarito Comentado 7 Questão Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria compartilhe as informações confidenciais que possui. Neste caso estamos falando de vulnerabilidade do tipo: Natural Humana Física Mídia Comunicação Respondido em 03/06/2021 12:54:54 Gabarito Comentado 8 Questão As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Software: Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Respondido em 03/06/2021 12:55:45 Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feitopelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Comunicação Vulnerabilidade Mídias Vulnerabilidade Software Vulnerabilidade Natural Vulnerabilidade Física Respondido em 03/06/2021 12:57:56 Gabarito Comentado 2 Questão Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas: I-A Criptografia é uma técnica que permite transformar informações em uma forma ilegível com a finalidade de ser reconhecida apenas pelo destinatário devido. II-A criptografia pode ser conceituada como uma ciência que usa algoritmos para criptografar os dados de uma maneira não legível. III- A encriptação é o processo contrário da criptografia, em que os dados encriptados são transformados em sua forma original legível. Somente I e II I, II e III Somente II e III Somente I e III Somente III Respondido em 03/06/2021 13:05:39 Explicação: A decriptação é o processo contrário da criptografia, em que os dados encriptados são transformados em sua forma original legível. 3 Questão Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas: I-A encriptação é o processo de transformação dos dados originais em forma não legível, ou seja, encriptados. II-Decriptação é o processo reverso da criptografia; é a transformação dos dados encriptados de volta à forma de texto claro. III-Decriptação é o processo contrário da criptografia, em que os dados encriptados são transformados em sua forma original legível. Somente III Nenhuma I, II e III Somente I Somente I e II Respondido em 03/06/2021 13:07:00 Explicação: Todas estão corretas 4 Questão Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? Vulnerabilidade Física Vulnerabilidade Mídia Vulnerabilidade de Software Vulnerabilidade de Comunicação Vulnerabilidade Natural Respondido em 03/06/2021 12:59:14 Gabarito Comentado 5 Questão Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir. I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. Representam vulnerabilidades dos ativos de informação o que consta em: I, III e IV, somente. I, II, III e IV. II e III, somente. I e III, somente. I, II e IV, somente. Respondido em 03/06/2021 13:03:24 Gabarito Comentado 6 Questão O processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções pode ser descrito em qual das opções abaixo? Ativo Ameaça Analise de Incidente Análise de Vulnerabilidade Analise de Escopo Respondido em 03/06/2021 13:00:35 Gabarito Comentado 7 Questão João trabalha no Datacenter de uma empresa de Tecnologia. Logo assim que chegou no ambiente de trabalho, ocorreu um curto circuito e iniciou um incêndio. João correu para buscar um extintor contra incêndio e percebeu que ele estava vazio. Neste caso estamos falando de vulnerabilidade do tipo: Mídia Natural Humana Comunicação Física Respondido em 03/06/2021 13:00:53 8 Questão Uma pesquisa realizada pelos organizadores da Conferência Infosecurity Europe 2003 com trabalhadores de escritórios, que distribuía um brinde (de baixo valor) aos entrevistados, revelou que 75% deles se dispunham a revelar suas senhas em resposta a uma pergunta direta ("Qual é a sua senha?"), e outros 15% responderam a perguntas indiretas que levariam à determinação da senha. Esse experimento evidencia a grande vulnerabilidade dos ambientes computacionais a ataques de que tipo? Cavalos de tróia. Vírus de computador. Back doors. Engenharia social. Acesso físico. Uma das primeiras ameaças que as redes estão susceptíveis são os vírus. Os vírus são programadas desenvolvidos para alterar de forma nociva softwares instalados em uma rede. Sobre os vírus assinale apenas a opção que contenha apenas as opções verdadeiras: I-O vírus é um programa normalmente malicioso que propaga-se na rede realizando cópias de si mesmo. II-Para que o vírus se torne ativo é necessário que o mesmo seja executado pelo programa infectado. III- Um vírus executa diretamente suas cópias e explora diretamente as vulnerabilidades existentes na rede de computadores Apenas I e II I, II e III Apenas I e III Apenas I Apenas II Respondido em 03/06/2021 16:20:48 Explicação: A afirmativa III refere-se a um WORM 2 Questão Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? Secreta e Oculta Interna e Externa Secreta e Externa Interna e Oculta Conhecida e Externa Respondido em 03/06/2021 16:21:31 3 Questão Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um: active-x exploit vírus cavalo de tróia (trojan horse) worm Respondido em 03/06/2021 16:22:16 4 Questão O que são exploits? É um programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o worm é um programa completo e não precisa de outro programa para se propagar. São programas utilizados para descobrir as senhas dos usuários. Estes programas geralmente são muito lentos, pois usam enormes dicionários com o máximo de combinações possíveis de senhas e ficam testando uma a uma até achar a senha armazenada no sistema Consiste no software de computador que recolhe a informação sobre um usuário do computador e transmite então esta informação a uma entidade externa sem o conhecimento ou o consentimento informado do usuário. São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são utilizados por pessoas sem conhecimento da vulnerabilidade.Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar por outra máquina, utilizando a técnica de Spoofing. Quando estas solicitações começarem a ser respondidas, o sistema alvo será inundado (flood) pelas respostas do servidor. Respondido em 03/06/2021 16:31:54 Gabarito Comentado 5 Questão Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? Ativo Fraco Passivo Forte Secreto Respondido em 03/06/2021 16:28:28 Gabarito Comentado 6 Questão O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito é conhecido como: backdoor vírus Spyware Keylogger exploit Respondido em 03/06/2021 16:26:16 7 Questão Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( ) Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: 5,1,4,3,2. 3, 1, 4, 5, 2. 3, 2, 4, 5, 1. 3, 1, 5, 2, 4. 5, 2, 4, 3, 1. Respondido em 03/06/2021 16:27:39 8 Questão A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual de hackers mas na verdade estas pessoas tem amplo conhecimento de programação e noções de rede e internet, não desenvolvem vulnerabilidades e não tem intenção de roubar informações, estes na verdade são os crackers que invadem sistemas em rede ou computadores para obter vantagens muitas vezes financeiras. Verifique nas sentenças abaixo as que estão corretas em relação a descrição dos potenciais atacantes: I - Wannabes ou script kiddies São aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos. II- Defacers Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou realizam chamadas sem tarifação. III- Pheakres São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web e modificá-las. As sentenças II e III estão corretas. Todas as sentenças estão corretas. Apenas a sentença I está correta. As sentenças I e II estão corretas. As sentenças I e III estão corretas. Em relação aos conceitos abaixo, assinale as opções que tenha apenas as afirmações corretas: I-"Os dados são variáveis sem significado qualitativo e representam variáveis brutas. O termo "informação" é um meio de coletar os dados e gerenciá-los de forma a ter significado uteis a um usuário e assim construir um conhecimento". II- "A informação é o mesmo que um conjunto de dados. Transformar esses dados em informação é transformar algo com pouco significado em um recurso de menor valor para a nossa vida pessoal ou profissional" III-"O termo "conhecimento" pode ser entendido como um processo no qual uma crença pessoal é justificada em relação a verdade". Somente I I, II e III Somente I e III Somente II e III Somente I e II Respondido em 03/06/2021 13:12:19 Explicação: o certo será: A informação é muito mais que um conjunto de dados. Transformar esses dados em informação é transformar algo com pouco significado em um recurso de valor para a nossa vida pessoal ou profissional 2a Questão Acerto: 0,0 / 1,0 VULNERABILIDADE DE SEGURANÇA O ciclo de vida da informação Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que está dialogando com seu banco e não com alguém que se faz passar por ele? Neste caso estamos falando de: Legalidade Disponibilidade Confidencialidade Não-repúdio Autenticação Respondido em 03/06/2021 13:13:49 3a Questão Acerto: 1,0 / 1,0 As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Natural Vulnerabilidade Mídia Vulnerabilidade Física Vulnerabilidade de Software Vulnerabilidade Comunicação Respondido em 03/06/2021 13:14:59 4a Questão Acerto: 1,0 / 1,0 Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( ) Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: 3, 2, 4, 5, 1. 3, 1, 4, 5, 2. 5,1,4,3,2. 3, 1, 5, 2, 4. 5, 2, 4, 3, 1. Respondido em 03/06/2021 16:40:12 5a Questão Acerto: 1,0 / 1,0 A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de: SQL injection Fragmentação de pacotes IP Buffer Overflow Fraggle Smurf Respondido em 03/06/2021 13:39:36 Gabarito Comentado 6a Questão Acerto: 0,0 / 1,0 Vamos analisar cada item. E marque a alternativa correta. O driver do HD possibilita a comunicação entre o HD e o computador/sistema operacional; O antivírus é uma ferramenta que auxilia no combate às pragas eletrônicas RSS (Really Simple Syndication) é uma forma de Feed que possibilita ao usuário receber dados de diversas fontes, reunindo-os em único local; O HTTP (hipertexto transfer protocol)? a ? é o protocolo utilizado pela WEB; O FTP (file transfer protocol) é o protocolo para transferência de arquivos do conjunto TCP/IP. Não é o único capaz de transferir arquivos, mas este é especializado e possui vários comandos para navegação e transferência de arquivos; Respondido em 03/06/2021 13:33:54 7a Questão Acerto: 1,0 / 1,0 A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é: O serviço de iluminação A base de dados e arquivos O equipamento de comunicaçãoO plano de continuidade do negócio. A reputação da organização Respondido em 03/06/2021 13:21:27 8a Questão Acerto: 0,0 / 1,0 A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Preventivas Prevenção e Preventivas Corretivas e Corrigidas Corrigidas e Preventivas Corretivas e Correção Respondido em 03/06/2021 13:20:25 9a Questão Acerto: 0,0 / 1,0 O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"? A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa. Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. Respondido em 03/06/2021 13:38:54 Gabarito Comentado 10a Questão Acerto: 0,0 / 1,0 Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar : Um detector de intrusão Um filtro de pacotes Um servidor proxy Um firewall com estado Um roteador de borda Gestão da segurança da informação Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta situação? Abstrato Ativo Passivo Intangível Tangível Respondido em 03/06/2021 11:44:00 2 Questão As informações devem cumprir alguns requisitos, dentre os quais: I. Autenticação: refere-se a proteger a informação de ser lida ou copiada por qualquer um que não está explicitamente autorizado pelo proprietário da informação II. Confidencialidade: irá definir que as partes envolvidas na comunicação sejam autenticadas, a fim de garantir que cada uma delas seja realmente quem diz ser III. Consistência: assegura que o sistema comporta-se como esperado pelos usuários autorizados. Se o software ou hardware repentinamente começa a se comportar de maneira radicalmente diferente daquele que se costuma comportar, especialmente após uma atualização ou a reparação de um erro, pode ocorrer um "desastre" IV. Disponibilidade: irá definir que as informações devidas estarão disponíveis para seus respectivos usuários. Aqui cabe uma ressalva: para garantir esta disponibilidade da informação somente para o usuário devido, deve-se implementar controles de acesso, a fim de conter usuários não autorizados Após a leitura das asserções, assinale a alternativa correta. Somente as asserções II, III e IV estão corretas Somente as asserções I, II e III estão corretas Somente as asserções I e II estão corretas Somente as asserções III e IV estão corretas Somente as asserções I, II e IV estão corretas Respondido em 03/06/2021 11:49:04 Explicação: Autenticação: irá definir que as partes envolvidas na comunicação sejam autenticadas, a fim de garantir que cada uma delas seja realmente quem diz ser Confidencialidade:refere-se a proteger a informação de ser lida ou copiada por qualquer um que não está explicitamente autorizado pelo proprietário da informação Consistência: assegura que o sistema comporta-se como esperado pelos usuários autorizados. Se o software ou hardware repentinamente começa a se comportar de maneira radicalmente diferente daquele que se costuma comportar, especialmente após uma atualização ou a reparação de um erro, pode ocorrer um "desastre" Disponibilidade: irá definir que as informações devidas estarão disponíveis para seus respectivos usuários. Aqui cabe uma ressalva: para garantir esta disponibilidade da informação somente para o usuário devido, deve-se implementar controles de acesso, a fim de conter usuários não autorizados 3 Questão Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Disponibilidade Integridade Auditoria Privacidade Confidencialidade Respondido em 03/06/2021 11:49:48 4 Questão Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da Informação: Tudo aquilo que não possui valor específico. Tudo aquilo que a empresa usa como inventario contábil. Tudo aquilo que não manipula dados. Tudo aquilo que tem valor para a organização. Tudo aquilo que é utilizado no Balanço Patrimonial. Respondido em 03/06/2021 11:50:24 5 Questão O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; Respondido em 03/06/2021 11:51:04 6 Questão Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedade e que permitem a organização deste ativos em grupos com características semelhantes no que diz respeito às necessidades,estratégias e ferramentas de proteção. Qual das opções abaixo define a classificação dos tipos de ativos? Contábil e Não Contábil. Tangível e Intangível. Material e Tangível. Tangível e Físico. Intangível e Qualitativo. Respondido em 03/06/2021 11:51:44 7 Questão Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos dizer que: A afirmativa é verdadeira somente para ameaças identificadas. A afirmativa é verdadeira somente para vulnerabilidades físicas. A afirmativa é verdadeira. A afirmativa é verdadeira somente para vulnerabilidades lógicas. A afirmativa é falsa. Respondido em 03/06/2021 11:52:21 8 Questão O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de "Informação"? Por si só não conduz a uma compreensão de determinado fato ou situação; Possui valor e deve ser protegida; Pode habilitar a empresa a alcançar seus objetivos estratégicos; É dado trabalhado, que permite ao executivo tomar decisões; É a matéria-prima para o processo administrativo da tomada de decisão; De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de segurança¿, podemos dizer que: A afirmação é somente falsa para as empresas privadas. A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. A afirmação é somente verdadeira para as empresas privadas. A afirmação é falsa. A afirmação é verdadeira. Respondido em 03/06/2021 12:16:53 2 Questão Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Integridade; Confidencialidade; Disponibilidade; Não-repúdio; Privacidade; Respondido em 03/06/2021 12:17:23 3 Questão A informação terá valor econômico para uma organização se ela gerar lucro ou se for alavancadora de vantagem competitiva. Neste sentido devemos proteger os diferentes momentos vividos por esta informação que a colocam em risco. Os momentos que colocam em risco esta informação e que chamamos de ciclo de vida são: (Assinale a alternativa I N C O R R E T A). Manuseio. Transporte. Descarte. Consultoria. Armazenamento. Respondido em 03/06/2021 12:17:53 Gabarito Comentado 4 Questão Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que as informações enviadas por ele ao banco e as enviadas do banco para ele são originais, ou seja, não foram alteradas durante a transmissão? Neste caso estamos falando de: Autenticação Não-repúdio Integridade Disponibilidade Confidencialidade Respondido em 03/06/2021 12:18:24 Gabarito Comentado 5 Questão Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como o banco pode garantir-se de que, posteriormente, João venha a afirmar que não foi ele quem fez o acesso? Neste caso estamos falando de: Confidencialidade Não-repúdio Integridade Autenticação Disponibilidade Respondido em 03/06/2021 12:18:47 Gabarito Comentado 6 Questão A assinatura digital permite comprovar a autenticidade e ______________ de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. a confidencialidade a legalidade o não-repúdio a integridade a disponibilidade Respondido em 03/06/2021 12:19:13 7 Questão Sobre o conceito: " [...] é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em desiquilíbrio operacional e, eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo". Tal conceituação refere-se a qual tipo de informação, no que tange ao nível de prioridade da mesma, segundo Wadlow (2000)? Informação Interna Informação Pública Nenhuma das alternativas anteriores Informação confidencial Informação secreta Respondido em 03/06/2021 12:20:53 8 Questão Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de ¿Ativo de Informação¿? São aqueles que produzem, processam, transmitem ou armazenam informações. São aqueles tratam, administram, isolam ou armazenam informações. São aqueles que constroem, dão acesso, transmitem ou armazenam informações. São aqueles que produzem, processam, reúnem ou expõem informações. São aqueles que organizam, processam, publicam ou destroem informações. Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. Respondido em 03/06/2021 12:50:43 Gabarito Comentado 2 Questão A empresa de segurança cibernética IntelCrawler descobriu no dia 17 de janeiro de 2014 ao menos seis ataques em andamento contra varejistas nos Estados Unidos cujos sistemas de cartão de crédito estão infectados com o mesmo tipo de software malicioso usado para roubar dados de cerca de 40 milhões de cartões de crédito da rede Target. O software malicioso que foi usado para tal feito foi o BlackPOS. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Natural. Vulnerabilidade Física. Vulnerabilidade de Mídias. Vulnerabilidade de Comunicação. Vulnerabilidade Software. Respondido em 03/06/2021 12:51:20 Gabarito Comentado 3 Questão Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas tentativas de invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade de Comunicação. Vulnerabilidade de Mídias. Vulnerabilidade de Software. Vulnerabilidade Física. Vulnerabilidade Natural. Respondido em 03/06/2021 12:53:02 4 Questão Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade. Rede elétrica instável. Sistema operacional desatualizado. Firewall mal configurado. Linkssem contingência. Funcionário desonesto. Respondido em 03/06/2021 12:53:25 Gabarito Comentado 5 Questão O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? Problema Ameaça Dependência Risco Vulnerabilidade Respondido em 03/06/2021 12:54:11 Gabarito Comentado 6 Questão As ________________________ por si só não provocam acidentes, pois são elementos __________, para que ocorra um incidente de segurança é necessário um agente causador ou uma condição favorável que são as ___________________. Vulnerabilidades, ativos, ameaças Ameaças, ativos, vulnerabilidades Ameaças, essenciais, vulnerabilidades Vulnerabilidades, passivos, ameaças Ameaças, passivos, vulnerabilidades Respondido em 03/06/2021 12:54:25 Gabarito Comentado 7 Questão Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria compartilhe as informações confidenciais que possui. Neste caso estamos falando de vulnerabilidade do tipo: Natural Humana Física Mídia Comunicação Respondido em 03/06/2021 12:54:54 Gabarito Comentado 8 Questão As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Software: Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Respondido em 03/06/2021 12:55:45 Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Comunicação Vulnerabilidade Mídias Vulnerabilidade Software Vulnerabilidade Natural Vulnerabilidade Física Respondido em 03/06/2021 12:57:56 Gabarito Comentado 2 Questão Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas: I-A Criptografia é uma técnica que permite transformar informações em uma forma ilegível com a finalidade de ser reconhecida apenas pelo destinatário devido. II-A criptografia pode ser conceituada como uma ciência que usa algoritmos para criptografar os dados de uma maneira não legível. III- A encriptação é o processo contrário da criptografia, em que os dados encriptados são transformados em sua forma original legível. Somente I e II I, II e III Somente II e III Somente I e III Somente III Respondido em 03/06/2021 13:05:39 Explicação: A decriptação é o processo contrário da criptografia, em que os dados encriptados são transformados em sua forma original legível. 3 Questão Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas: I-A encriptação é o processo de transformação dos dados originais em forma não legível, ou seja, encriptados. II-Decriptação é o processo reverso da criptografia; é a transformação dos dados encriptados de volta à forma de texto claro. III-Decriptação é o processo contrário da criptografia, em que os dados encriptados são transformados em sua forma original legível. Somente III Nenhuma I, II e III Somente I Somente I e II Respondido em 03/06/2021 13:07:00 Explicação: Todas estão corretas 4 Questão Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? Vulnerabilidade Física Vulnerabilidade Mídia Vulnerabilidade de Software Vulnerabilidade de Comunicação Vulnerabilidade Natural Respondido em 03/06/2021 12:59:14 Gabarito Comentado 5 Questão Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir. I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. Representam vulnerabilidades dos ativos de informação o que consta em: I, III e IV, somente. I, II, III e IV. II e III, somente. I e III, somente. I, II e IV, somente. Respondido em 03/06/2021 13:03:24 Gabarito Comentado 6 Questão O processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções pode ser descrito em qual das opções abaixo? Ativo Ameaça Analise de Incidente Análise de Vulnerabilidade Analise de Escopo Respondido em 03/06/2021 13:00:35 Gabarito Comentado 7 Questão João trabalha no Datacenter de uma empresa de Tecnologia. Logo assim que chegou no ambiente de trabalho, ocorreu um curto circuito e iniciou um incêndio. João correu para buscar um extintor contra incêndio e percebeu que ele estava vazio. Neste caso estamos falando de vulnerabilidade do tipo: Mídia Natural Humana Comunicação Física Respondido em 03/06/2021 13:00:53 8 Questão Uma pesquisa realizada pelos organizadores da Conferência Infosecurity Europe 2003 com trabalhadores de escritórios, que distribuía um brinde (de baixo valor) aos entrevistados, revelou que 75% deles sedispunham a revelar suas senhas em resposta a uma pergunta direta ("Qual é a sua senha?"), e outros 15% responderam a perguntas indiretas que levariam à determinação da senha. Esse experimento evidencia a grande vulnerabilidade dos ambientes computacionais a ataques de que tipo? Cavalos de tróia. Vírus de computador. Back doors. Engenharia social. Acesso físico. Uma das primeiras ameaças que as redes estão susceptíveis são os vírus. Os vírus são programadas desenvolvidos para alterar de forma nociva softwares instalados em uma rede. Sobre os vírus assinale apenas a opção que contenha apenas as opções verdadeiras: I-O vírus é um programa normalmente malicioso que propaga-se na rede realizando cópias de si mesmo. II-Para que o vírus se torne ativo é necessário que o mesmo seja executado pelo programa infectado. III- Um vírus executa diretamente suas cópias e explora diretamente as vulnerabilidades existentes na rede de computadores Apenas I e II I, II e III Apenas I e III Apenas I Apenas II Respondido em 03/06/2021 16:20:48 Explicação: A afirmativa III refere-se a um WORM 2 Questão Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? Secreta e Oculta Interna e Externa Secreta e Externa Interna e Oculta Conhecida e Externa Respondido em 03/06/2021 16:21:31 3 Questão Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um: active-x exploit vírus cavalo de tróia (trojan horse) worm Respondido em 03/06/2021 16:22:16 4 Questão O que são exploits? É um programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o worm é um programa completo e não precisa de outro programa para se propagar. São programas utilizados para descobrir as senhas dos usuários. Estes programas geralmente são muito lentos, pois usam enormes dicionários com o máximo de combinações possíveis de senhas e ficam testando uma a uma até achar a senha armazenada no sistema Consiste no software de computador que recolhe a informação sobre um usuário do computador e transmite então esta informação a uma entidade externa sem o conhecimento ou o consentimento informado do usuário. São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são utilizados por pessoas sem conhecimento da vulnerabilidade. Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar por outra máquina, utilizando a técnica de Spoofing. Quando estas solicitações começarem a ser respondidas, o sistema alvo será inundado (flood) pelas respostas do servidor. Respondido em 03/06/2021 16:31:54 Gabarito Comentado 5 Questão Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? Ativo Fraco Passivo Forte Secreto Respondido em 03/06/2021 16:28:28 Gabarito Comentado 6 Questão O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito é conhecido como: backdoor vírus Spyware Keylogger exploit Respondido em 03/06/2021 16:26:16 7 Questão Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( ) Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: 5,1,4,3,2. 3, 1, 4, 5, 2. 3, 2, 4, 5, 1. 3, 1, 5, 2, 4. 5, 2, 4, 3, 1. Respondido em 03/06/2021 16:27:39 8 Questão A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual de hackers mas na verdade estas pessoas tem amplo conhecimento de programação e noções de rede e internet, não desenvolvem vulnerabilidades e não tem intenção de roubar informações, estes na verdade são os crackers que invadem sistemas em rede ou computadores para obter vantagens muitas vezes financeiras. Verifique nas sentenças abaixo as que estão corretas em relação a descrição dos potenciais atacantes: I - Wannabes ou script kiddies São aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos. II- Defacers Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou realizam chamadas sem tarifação. III- Pheakres São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web e modificá-las. As sentenças II e III estão corretas. Todas as sentenças estão corretas. Apenas a sentença I está correta. As sentenças I e II estão corretas. As sentenças I e III estão corretas. Em relação aos conceitos abaixo, assinale as opções que tenha apenas as afirmações corretas: I-"Os dados são variáveis sem significado qualitativo e representam variáveis brutas. O termo "informação" é um meio de coletar os dados e gerenciá-los de forma a ter significado uteis a um usuário e assim construir um conhecimento". II- "A informação é o mesmo que um conjunto de dados. Transformar esses dados em informação é transformar algo com pouco significado em um recurso de menor valor para a nossa vida pessoal ou profissional" III-"O termo "conhecimento" pode ser entendido como um processo no qual uma crença pessoal é justificada em relação a verdade". Somente I I, II e III Somente I e III Somente II e III Somente I e II Respondido em 03/06/2021 13:12:19 Explicação: o certo será: A informação é muito mais que um conjunto de dados. Transformar esses dados em informação é transformar algo com pouco significado em um recurso de valor para a nossa vida pessoal ou profissional 2a Questão Acerto: 0,0 / 1,0 VULNERABILIDADE DE SEGURANÇA O ciclo de vida da informação Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que está dialogando com seu banco e não com alguém que se faz passar por ele? Neste caso estamos falando de: Legalidade Disponibilidade Confidencialidade Não-repúdio Autenticação Respondido em 03/06/2021 13:13:49 3a Questão Acerto: 1,0 / 1,0 As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadaspelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Natural Vulnerabilidade Mídia Vulnerabilidade Física Vulnerabilidade de Software Vulnerabilidade Comunicação Respondido em 03/06/2021 13:14:59 4a Questão Acerto: 1,0 / 1,0 Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( ) Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: 3, 2, 4, 5, 1. 3, 1, 4, 5, 2. 5,1,4,3,2. 3, 1, 5, 2, 4. 5, 2, 4, 3, 1. Respondido em 03/06/2021 16:40:12 5a Questão Acerto: 1,0 / 1,0 A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de: SQL injection Fragmentação de pacotes IP Buffer Overflow Fraggle Smurf Respondido em 03/06/2021 13:39:36 Gabarito Comentado 6a Questão Acerto: 0,0 / 1,0 Vamos analisar cada item. E marque a alternativa correta. O driver do HD possibilita a comunicação entre o HD e o computador/sistema operacional; O antivírus é uma ferramenta que auxilia no combate às pragas eletrônicas RSS (Really Simple Syndication) é uma forma de Feed que possibilita ao usuário receber dados de diversas fontes, reunindo-os em único local; O HTTP (hipertexto transfer protocol)? a ? é o protocolo utilizado pela WEB; O FTP (file transfer protocol) é o protocolo para transferência de arquivos do conjunto TCP/IP. Não é o único capaz de transferir arquivos, mas este é especializado e possui vários comandos para navegação e transferência de arquivos; Respondido em 03/06/2021 13:33:54 7a Questão Acerto: 1,0 / 1,0 A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é: O serviço de iluminação A base de dados e arquivos O equipamento de comunicação O plano de continuidade do negócio. A reputação da organização Respondido em 03/06/2021 13:21:27 8a Questão Acerto: 0,0 / 1,0 A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Preventivas Prevenção e Preventivas Corretivas e Corrigidas Corrigidas e Preventivas Corretivas e Correção Respondido em 03/06/2021 13:20:25 9a Questão Acerto: 0,0 / 1,0 O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"? A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa. Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. Respondido em 03/06/2021 13:38:54 Gabarito Comentado 10a Questão Acerto: 0,0 / 1,0 Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar : Um detector de intrusão Um filtro de pacotes Um servidor proxy Um firewall com estado Um roteador de borda 1. Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções abaixo Não representa um destes tipos de ataques? Ataque à Aplicação Ataque aos Sistemas Operacionais Ataques Genéricos Ataque para Obtenção de Informações Ataque de Configuração mal feita 2. João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando derrubar à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? Ip Spoofing Fragmentação de pacotes IP Port Scanning SYN Flooding Fraggle Gabarito Comentado 3. Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque? Camuflagem das Evidências Obtenção de Acesso Exploração das Informações Divulgação do Ataque Levantamento das Informações 4. Ataque ativo: ocorre modificação das informações ou tentativas de obter acesso não autorizado a sistemas de informação da rede.Entre as formas de ataques ativos podemos citar: "Neste tipo de ataque é utilizado um programa que utiliza todas as palavras de arquivo de dicionário e tentar acessar o sistema de forma simples." Essa descrição refere-se a qual tipo de ataque? Ataques de dicionário Ataques de dicionário Sequestro Ataques de força bruta Falsificação de endereço Explicação: Ataques de dicionário: Neste tipo de ataque é utilizado um programa que utiliza todas as palavras de arquivode dicionário e tentar acessar o sistema de forma simples. Para evitar esse tipo de ataque os usuários devem utilizar senhas mais complexas, com combinação de letras, números e caracteres 5. Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas do protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em cada porta. Qual seria este ataque: Ip Spoofing. Packet Sniffing. Syn Flooding. Fraggle. Port Scanning. Gabarito Comentado 6. Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de Buffer Overflow SQL Injection Smurf Fragmentação de Pacotes IP Fraggle Gabarito Comentado Gabarito Comentado 7. Ataque ativo: ocorre modificação das informações ou tentativas de obter acesso não autorizado a sistemas de informação da rede.Entre as formas de ataques ativos podemos citar: "Neste método o atacante tenta diversas senhas em um sistema de dados até que alguma delas seja compatível. O atacante utiliza geralmente um software que combine todas as possíveis prováveis senhas e login de usuários, até que tenha sucesso na autenticação" Essa descrição refere-se a qual tipo de ataque? Ataques de dicionário Ataques de força bruta Falsificação de endereço Sequestro Nenhuma das opções anteriores Explicação: Ataques de força bruta: Neste método o atacante tenta diversas senhas em um sistema de dados até que alguma delas seja compatível. O atacante utiliza geralmente um software que combine todas as possíveis prováveis senhas e login de usuários, até que tenha sucesso na autenticação. Normalmente, esses softwares possuem um algoritmo que realiza essa sequência de forma muito rápida. Esse ataque é denominado de força bruta porque o código é todo explorado até que seja quebrado. 8. O ataque é derivado de uma ameaça que tenta violar os serviços de segurança de um sistema usando uma técnica eficienteOs ataques podem ser divididos em passivo e ativo. Em relação aos ataques assinale a opção que contenha apenas afirmações verdadeiras: I-Ataques passivos: o atacante apenas intercepta e monitora as informações transmitidas. No ataque passivo as informações não são modificadas. II-Um ataque terá sucesso quando conseguir explorar um ativo de rede de um sistema computacional. III-Ataques passivos: o atacante apenas intercepta e monitora as informações transmitidas. No ataque passivo as informações não são modificadas. Apenas III I , II e III Apenas II e III Apenas I e II Apenas I Explicação: Todas são corretas Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? Valor. Impacto. Vulnerabilidade. Ameaça. Risco. Respondido em 06/07/2021 15:19:55 2a Questão Acerto: 1,0 / 1,0 VULNERABILIDADE DE SEGURANÇA O ciclo de vida da informação Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que está dialogando com seu banco e não com alguém que se faz passar por ele? Neste caso estamos falando de: Não-repúdio Confidencialidade Legalidade Disponibilidade Autenticação Respondido em 06/07/2021 14:51:38 3a Questão Acerto: 1,0 / 1,0 Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas: I-A encriptação é o processo de transformação dos dados originais em forma não legível, ou seja, encriptados. II-Decriptação é o processo reverso da criptografia; é a transformação dos dados encriptados de volta à forma de texto claro. III-Decriptação é o processo contrário da criptografia, em que os dados encriptados são transformados em sua forma original legível. Somente I e II I, II e III Somente III Nenhuma Somente I Respondido em 06/07/2021 14:53:06 Explicação: Todas estão corretas 4a Questão Acerto: 1,0 / 1,0 As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classificadas como: Insconsequentes Destrutivas Voluntárias Tecnológicas. Globalizadas Respondido em 06/07/2021 14:55:44 Gabarito Comentado 5a Questão Acerto: 0,0 / 1,0 Qual o nome do ataque que tem como objetivo desfigurar a página de um site ? Worm Spam Disfiguration Defacement Backdoor Respondido em 06/07/2021 14:57:24 6a Questão Acerto: 1,0 / 1,0 Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: Manter a reputação e imagem da organização Eliminar os riscos completamente e não precisar mais tratá-los Entender os riscos associados ao negócio e a gestão da informação Melhorar a efetividade das decisões para controlar os riscos Melhorar a eficácia no controle de riscos Respondido em 06/07/2021 15:08:02 Gabarito Comentado 7a Questão Acerto: 1,0 / 1,0 A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é: O equipamento de comunicação O plano de continuidade do negócio. O serviço de iluminação A reputação da organização A base de dados e arquivos Respondido em 06/07/2021 15:09:46 8a Questão Acerto: 1,0 / 1,0 A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo: I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos causados, e assim implantar controles para minimizá-los II-A norma não possibilita que as organizações no mundo todo possam se certificar de suas práticas de gestão de segurança da informação. III-A norma fornece suporte para que as organizações possam utilizar as melhores técnicas de monitoramento e controles, que envolvam recursos tecnológicos e humanos. Assinale a opção que contenha apenas afirmações corretas: Apenas I e III Apenas III Apenas II e III Apenas I I, II e III Respondido em 06/07/2021 15:14:58 Explicação: A afirmativa II é falsa 9a Questão Acerto: 0,0 / 1,0 Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? Confidencialidade; Autenticidade; Integridade; Auditoria; Não-Repúdio; Respondido em 06/07/2021 15:15:26 Gabarito Comentado 10a Questão Acerto: 1,0 / 1,0 Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal.
Compartilhar