Fundamentos de Segurança da Informação

Prévia do material em texto

Fundamentos de Segurança da Informação com base na ISO IEC 27001-27002
Fundamentos de Segurança da Informação com base na ISO IEC 27001-27002 
Simulado: EX0-105 - Fundamentos de Segurança da Informação com base na ISO IEC 27001-27002
Nível: Fundamentos
Versão: 2.0
Conteúdo: 319 perguntas e respostas
Idioma: Português
Objetivo:
Este simulado tem como objetivo prepará-lo para o Exame de Certificaçã Fundamentos de Segurança da
Informação com base na ISO IEC 27001-27002.
Público Alvo:
Gerentes Seniores, Gerentes de empresas de TI, Gerentes de TI, Gestores de Sistema da Informação,
Publico de TI em geral (desenvolvimento, testes, suporte, etc) e usuários das áreas de negócio.
Pré-Requisito:
Ter realizado algum treinamento sobre Fundamentos de Segurança da Informação com base na ISO IEC
27001-27002
Valor da Certificação:
Cada vez mais é evidente a diferença de um profissional qualificado, ou ainda, certificado no ambiente de
trabalho, e não somente pela forte competitividade e diferenciação no currúculo, mas sim, pela visão que o
profissional obtém sobre a empresa e, principalmente, sobre a segurança da informação na TI.
A ISO/IEC 27002 Foundation é uma certificação diferenciada no mercado, por isso é importante não
apenas se capacitar nas normas, mas também se preparar para o exame de certificação oficial EXIN.
Exam A
QUESTION 1
Você é o dono da empresa SpeeDelivery. Você emprega algumas pessoas que, enquanto esperam
para fazer uma entrega, podem realizar outras tarefas.
Você percebe no entanto, que eles usam esse tempo para enviar e ler seus e-mails particulares e
navegar na Internet.
Em termos legais, de que forma pode ser melhor regulamentada o uso da Internet e e-mail nas
instalações?
A. Instalando um aplicativo que faz com que alguns sites deixam de estar acessíveis e filtre anexos em e-
mails.
B. A elaboração de um código de conduta para o uso da Internet e e-mail em que os direitos e obrigações
do empregador e do pessoal sejam estabelecidos
C. Implementar normas de privacidade.
D. Instalar um scanner de vírus.
QUESTION 2
Porque é que o ar condicionado deve ser instalado na sala de servidores?
A. Na sala de servidor o ar tem deve ser arrefecido e o calor produzido pelos equipamentos tem de ser
extraído. O ar na sala também precisa estar desumidificado e filtrado.
B. Quando uma empresa deseja resfriar seus escritórios, a sala do servidor é o melhor lugar. Desta
forma, não será preciso sacrificar espaço no escritório instalando uma grande peça de tal equipamento.
C. Não é agradável para a equipe de manutenção ter que trabalhar em uma sala de servidores que é
muito quente.
D. As fitas de backup são feitas de plástico fino, que não podem resistir a altas temperaturas.
Portanto, se ficar muito quente em uma sala de servidores, elas podem ficar danificadas.
QUESTION 3
Quem está autorizado a alterar a classificação de um documento?
A. O autor do documento.
B. O administrador do documento.
C. O dono do documento.
D. O gerente do dono do documento.
QUESTION 4
A empresa Centro-Oeste Seguros tem tomado muitas medidas para proteger suas informações.
Ela utiliza um Sistema de Gestão de Segurança da Informação, a entrada e saída de dados em
aplicações é validada, documentos confidenciais são enviadas de forma criptografada e
funcionários usam tokens para acessar sistemas de informação.
Qual destes não é uma medida técnica?
A. Informações do Sistema de Gerenciamento de Segurança
B. O uso de tokens para ter acesso aos sistemas de informação.
C. Validação de dados de entrada e saída em aplicações.
D. Criptografia das informações.
QUESTION 5
O que é um exemplo de uma medida de segurança física?
A. Um código de conduta que exige pessoal para aderir à política de mesa limpa, garantindo que
informações confidenciais não fiquem visíveis sobre a mesa no final do dia de trabalho.
B. Uma política de controle de acesso com acessos que devem ser usados de forma visível.
C. A criptografia de informações confidenciais.
D. Extintores de incêndio especiais com gás inerte, tal como árgon.
QUESTION 6
Que medidas de segurança física são necessárias para controlar o acesso às informações da
empresa?
A. Ar-condicionado.
B. Nome de usuário e senha.
C. O uso de vidro resistente à quebra e portas com as fechaduras corretas, molduras e dobradiças.
D. Proibição de uso de pen drives.
QUESTION 7
Por que as organizações têm uma política de segurança da informação?
A. Para demonstrar o funcionamento do ciclo P-D-C-A (Plan-Do-Check-Act) ou P-E-V-A (Planejar-
Executar-Verificar-Agir) dentro de uma organização.
B. A fim de assegurar que o pessoal não infrinja nenhuma lei.
C. A fim de dar sentido à forma como a segurança da informação é configurada dentro de uma
organização.
D. A fim de garantir que todos saibam quem é responsável pela execução dos procedimentos de backup.
QUESTION 8
Você trabalha no departamento de TI de uma empresa de médio porte. Informações confidenciais
caem em mãos erradas constantemente e isto tem prejudicado a imagem da empresa.
Você foi convidado para propor medidas de segurança organizacional para laptops de sua
empresa.
Qual é o primeiro passo que você deve tomar?
A. Formular uma política de mídias móveis (PDAs, laptops, smartphones, pen drives).
B. Nomear o pessoal de segurança.
C. Criptografar os discos rígidos de laptops e pen drives.
D. Estabelecer uma política de controle de acesso.
QUESTION 9
Você trabalha para uma grande organização. Você percebe que você tem acesso a informações
confidenciais que você não deve ser capaz de acessar em sua posição.
Você relata este incidente de segurança para o helpdesk. O ciclo incidente é iniciado.
Quais são as fases do ciclo de incidente de segurança?
A. Ameaça, Dano, Incidente, Recuperação.
B. Ameaça, Dano, Recuperação, Incidentes.
C. Ameaça, Incidente, Dano, Recuperação.
D. Ameaça, Recuperação, Incidente, Dano.
QUESTION 10
A sua organização tem um escritório com espaço para 25 estações de trabalho. Estas estações de
trabalho estão totalmente equipadas e em uso.
Devido a uma reorganização, 10 estações de trabalho extras foram adicionadas, cinco das quais
são utilizadas para uma central de atendimento 24 horas por dia. Outras cinco estações de trabalho
devem estar sempre disponíveis.
Que medidas de segurança física devem ser tomadas a fim de garantir isso?
A. Obter um escritório extra e criar 10 postos de trabalho. Seria portanto dispor de um equipamento de
reposição, que pode ser utilizado para substituir algum equipamento não funcional.
B. Obter um escritório extra e criar 10 postos de trabalho. Certifique-se de que há pessoal de segurança
durante o dia e a noite, para que a equipe possa trabalhar com segurança.
C. Obter um escritório extra e conectar todas as 10 novas estações de trabalho a uma fonte de
alimentação de emergência e UPS (Uninterruptible Power Supply). Ajustar o sistema de controle de
acesso para as horas de trabalho da nova equipe. Informar o pessoal de segurança do edifício que o
trabalho será realizado durante o dia e à noite.
D. Obter um escritório extra e proporcionar um UPS (Uninterruptible Power Supply) para as cinco
estações de trabalho mais importantes.
QUESTION 11
Qual das seguintes medidas é uma medida preventiva?
A. A instalação de um sistema de registro que permita alterações em um sistema.
B. Desligar todo o tráfego de internet depois que um hacker obteve acesso aos sistemas da empresa.
C. Manter informações sigilosas a salvo.
D. A classificação de um risco aceitável, porque o custo de tratar a ameaça é maior do que o valor da
informação em risco.
QUESTION 12
Para que é usado a Análise de Risco?
A. A análise de risco é usada para expressar o valor das informações para uma organização em termos
monetários.
B. A análise de risco é usada para esclarecer a gestão de suas responsabilidades.
C. Uma análise de risco é usada em conjunto com medidas de segurança para minimizar os riscos para
um nível aceitável.
D. A análise de risco é usada para garantir que as medidasde segurança são implantadas de forma eficaz
e oportuna.
QUESTION 13
A análise de risco bem executada oferece uma grande quantidade de informações úteis.
A análise de risco tem quatro objetivos principais.
Qual destes abaixo não é um dos quatro objetivos principais de uma análise de risco?
A. Identificação de ativos e seu valor.
B. Determinar as despesas de ameaças.
C. Estabelecer um equilíbrio entre os custos de um acidente e os custos de uma medida de segurança.
D. Determinar vulnerabilidades e ameaças relevantes.
QUESTION 14
Qual é um exemplo de um incidente de segurança?
A. A iluminação no departamento não funciona mais.
B. Um membro da equipa perde seu laptop.
C. Você não pode definir as fontes corretas em seu software de processamento de texto.
D. Um arquivo foi salvo com um nome incorreto.
QUESTION 15
Qual das seguintes medidas é uma medida corretiva?
A. Incorporar um Sistema de Detecção de Intrusão (IDS) no projeto de um centro de informática.
B. A instalação de um antivírus em um sistema de informação.
C. Fazer um backup dos dados que foram criados ou alterados durante o dia.
D. A restauração bem sucedida de um backup do banco de dados após uma cópia corrompida do banco
de dados ter escrito sobre o original.
QUESTION 16
Podemos adquirir e fornecer informações de várias maneiras.
O valor da informação depende se é de confiança.
Quais são os aspectos de confiabilidade das informações?
A. Disponibilidade, Valor da Informação e Confidencialidade.
B. Disponibilidade, Integridade e Confidencialidade.
C. Disponibilidade, Integridade e Completude.
D. Pontualidade, Precisão e Perfeição.
QUESTION 17
Sua empresa tem de garantir que ela atenda aos requisitos estabelecidos na legislação da proteção
de dados pessoais.
Qual é a primeira coisa que você deve fazer?
A. Fazer com que os funcionários sejam responsáveis por enviar seus dados pessoais.
B. Traduzir a legislação proteção de dados pessoais em uma política de privacidade que é voltada a a
empresa e os contratos com os clientes.
C. Nomear uma pessoa responsável por apoiar os gestores na adesão à política.
D. Emitir uma proibição da prestação de informações pessoais.
QUESTION 18
Que tipo de segurança faz uma oferta de infra-estrutura de chave pública (PKI)?
A. Fornecer certificados digitais que possam ser utilizados para assinar digitalmente documentos. Tais
assinaturas irrefutavelmente determinam de quem o documento foi enviado.
B. Ter um PKI mostra aos clientes que um negócio baseado na web é seguro.
C. Ao fornecer contratos, procedimentos e uma estrutura de organização, uma PKI define qual pessoa ou
sistema pertence a qual a chave pública específica.
D. A PKI garante que backups de dados da empresa são feitas em uma base regular.
QUESTION 19
Um funcionário do departamento administrativo do Smiths Consultants Inc. descobre que a data de
validade de um contrato com um dos clientes é anterior à data de início.
Que tipo de medida poderia evitar esse erro?
A. Medida de disponibilidade.
B. Medida de integridade.
C. Medida de organização.
D. Medida técnica.
QUESTION 20
Qual é o maior risco para uma organização se nenhuma política de segurança da informação for
definida?
A. Se todos trabalham com a mesma conta, é impossível descobrir quem trabalhou em quê.
B. Atividades de segurança da informação são realizadas por poucas pessoas.
C. Muitas medidas serão implementadas.
D. Não é possível para uma organização implementar a segurança da informação de uma forma
consistente.
QUESTION 21
Qual é o objetivo de se classificar as informações?
A. Autorizar o uso de um sistema de informação.
B. Criar um rótulo que indica como a informação é confidencial.
C. Definir diferentes níveis de sensibilidade para a qual as informações poderão ser organizadas.
D. Exibir no documento a quem é permitido o acesso.
QUESTION 22
O que os funcionários precisam saber para denunciar um incidente de segurança?
A. Como relatar um incidente e para quem.
B. Se o incidente ocorreu antes e qual foi o dano resultante.
C. As medidas que deveriam ter sido tomadas para evitar o incidente em primeiro lugar.
D. Quem é o responsável pelo incidente e se foi intencional.
QUESTION 23
Você começou a trabalhar em uma grande organização. Você foi convidado a assinar um código de
conduta, bem como um contrato.
O que a organização deseja alcançar com isso?
A. Um código de conduta ajuda a evitar o mau uso de recursos de TI.
B. Um código de conduta é uma obrigação legal que as organizações têm de cumprir.
C. Um código de conduta impede a propagação de vírus.
D. Um código de conduta orienta funcionários sobre como denunciar supostos abusos de instalações de
TI.
QUESTION 24
Peter trabalha na empresa Centro-Oeste de Seguros.
Sua gerente, Linda, pede-lhe para enviar os termos e condições de uma apólice de seguro de vida
de Rachel, um cliente.
Quem determina o valor da informação em termos de seguro e documentar as condições?
A. O destinatário, Rachel.
B. A pessoa que elaborou os termos e condições de seguros.
C. A gerente, Linda.
D. O remetente, Peter.
QUESTION 25
Quando estamos em nossa mesa, queremos que o sistema de informação e as informações
necessárias para estejam disponíveis.
Queremos ser capazes de trabalhar com o computador e acessar a rede e nossos arquivos.
Qual é a definição correta de disponibilidade?
A. O grau em que a capacidade do sistema é suficiente para permitir que todos os usuários possam
trabalhar.
B. O grau em que a continuidade de uma organização é garantida.
C. O grau em que um sistema de informação está disponível para os usuários.
D. A quantidade total de tempo que um sistema de informação é acessível para os usuários.
QUESTION 26
Qual é um exemplo de uma ameaça não humana para o ambiente físico?
A. Transação fraudulenta.
B. Arquivo corrompido.
C. Tempestade.
D. Virus.
QUESTION 27
Na maioria das organizações, o acesso ao computador ou a rede é garantido apenas após o usuário
inserir um nome de usuário e senha corretamente.
Este processo consiste em três etapas: identificação, autenticação e autorização.
Qual é o objetivo do segundo passo, a autenticação?
A. Na segunda etapa, você faz o reconhecimento da sua identidade, o que significa que você terá acesso
ao sistema.
B. A etapa de autenticação verifica o nome de usuário com uma lista de usuários que têm acesso ao
sistema.
C. O sistema determina se o acesso pode ser concedido por verificar se o token usado é autêntico.
D. Durante a etapa de autenticação, o sistema lhe dá os direitos que você precisa, como ser capaz de ler
os dados no sistema.
QUESTION 28
Qual destes não é um software malicioso?
A. Phishing.
B. Spyware.
C. Virus.
D. Worm.
QUESTION 29
Algumas ameaças são causadas diretamente por pessoas, outros têm uma causa natural.
Qual é um exemplo de uma ameaça humana intencional?
A. Relâmpago.
B. Incêndio proposital.
C. Enchente.
D. Perda de um pen drive.
QUESTION 30
Qual é a definição de uma expectativa de perda anual?
A. A expectativa de perda anual é a quantidade de danos que podem ocorrer como resultado de um
acidente durante o ano.
B. A expectativa de perda anual é o tamanho do estrago resultante de não ter realizado análises de risco
de forma eficaz.
C. A expectativa de perda anual é o dano médio calculado pelas companhias de seguros para as
empresas de um país.
D. A expectativa de perda anual é a quantidade mínima para que uma organização deve estar preparada.
QUESTION 31
Qual é a razão mais importante para a aplicação de segregação de funções?
A. Segregação de funções faz com que seja claro quem é responsável por quê.
B. Separação das funções garante que, quando uma pessoa está ausente, pode ser investigado se ele ou
ela tenha cometido alguma fraude.
C. Tarefas e responsabilidades devem ser separadas, a fim de minimizar as oportunidades de ativos da
empresa a ser utilizada ilicitamente ou alterada, se a mudança for autorizada ou não intencional.
D. Segregação de funções faz com que seja mais fácil para umapessoa que está pronta com a sua parte
do trabalho para tirar uma folga ou para assumir o trabalho de outra pessoa.
QUESTION 32
A ameaça não humana para sistemas de computador pode ser uma inundação.
Em que situação uma inundação sempre pode ser uma ameaça relevante?
A. Se a análise de risco não foi realizada.
B. Quando os sistemas de computador são mantidos em um porão abaixo do nível do solo.
C. Quando os sistemas de computador não estão assegurados.
D. Quando a organização está localizado perto de um rio.
QUESTION 33
Por que é importante o cumprimento da confiabilidade da informação?
A. Compliance é uma outra palavra para a confiabilidade. Assim, se uma empresa indica que é confiável,
isso significa que a informação é gerida de forma adequada.
B. Através do cumprimento dos requisitos legais e os regulamentos do governo e de gestão interna, uma
organização mostra que gere a sua informação de uma forma sólida.
C. Quando uma organização utiliza um padrão, como a ISO / IEC 27002 e usa em toda parte, é confiável
e, portanto, garante a confiabilidade de suas informações.
D. Quando uma organização é compatível, ela atende aos requisitos da legislação de privacidade e, ao
fazê-lo, protege a confiabilidade de suas informações.
QUESTION 34
Você é o dono da empresa SpeeDelivery Courier. Com base na sua análise de risco você decidiu
tomar uma série de medidas.
Você tem backups diários feitos do servidor, mantem a sala do servidor bloqueada e instala um
sistema de alarme de intrusão e um sistema de aspersão.
Qual destas medidas é uma medida detectiva?
A. Backup.
B. Alarme de intrusão.
C. Sistema de aspersão.
D. Restrição de acesso às salas especiais.
QUESTION 35
Qual é a relação entre Dados e Informações?
A. Os dados são informações estruturadas.
B. A informação é o significado e o valor atribuído a um conjunto de dados.
QUESTION 36
Que tipo de malware cria uma rede de computadores contaminados?
A. Logic Bomb.
B. Storm Worm ou Botnet.
C. Trojan.
D. Virus.
QUESTION 37
Você trabalha no escritório de uma grande empresa.
Você recebe um telefonema de uma pessoa que afirma ser do Helpdesk. Ele pede a você pela sua
senha.
Que tipo de ameaça é essa?
A. Ameaça natural.
B. Ameaça organizacional.
C. Engenharia Social.
QUESTION 38
Sua empresa está nos jornais, como resultado de uma ação infeliz de um dos funcionários.
Os telefones estão tocando com clientes que querem cancelar seus contratos.
Como nós chamamos este tipo de dano?
A. Dano direto.
B. Dano indireto.
QUESTION 39
Um funcionário de uma empresa aérea percebe que não tem acesso a um dos aplicativos da
empresa que não foi usado antes.
É este um incidente de segurança da informação?
A. Sim.
B. Não.
QUESTION 40
Em que condição um empregador permite verificar se os serviços de Internet e e-mail no local de
trabalho estão sendo utilizados para fins privados?
A. O empregador tem permissão para verificar isso, se o trabalhador for informado após cada instância de
verificação.
B. O empregador tem permissão para verificar isso, se os funcionários estão cientes de que isso poderia
acontecer.
C. O empregador tem permissão para verificar isso, se um firewall também está instalado.
D. O empregador não é autorizado a verificar o uso de serviços de TI pelos funcionários.
Exam B
QUESTION 1
Você tem um pequeno escritório em uma área industrial.
Você gostaria de analisar os riscos que a sua empresa enfrenta.
O escritório fica em um local muito remoto, portanto, a possibilidade de incêndio criminoso não é
totalmente fora de questão.
Qual é a relação entre a ameaça do fogo e do risco de incêndio?
A. O risco de incêndio é a ameaça do fogo multiplicado pela probabilidade de que pode ocorrer o incêndio
e suas conseqüências.
B. A ameaça do fogo é o risco de incêndio, multiplicado pela probabilidade de que pode ocorrer o incêndio
e suas conseqüências.
QUESTION 2
Você trabalha para um empregador flexível que não se importa se você trabalha em casa ou na
estrada.
Você leva regularmente cópias de documentos com você em um memory stick USB que não é
seguro.
Quais são as consequências para a confiabilidade das informações, se você perder o seu memory
stick USB no trem?
A. A integridade dos dados no cartão de memória USB não é garantida.
B. A disponibilidade dos dados no cartão de memória USB não é garantida.
C. A confidencialidade dos dados no cartão de memória USB não é garantida.
QUESTION 3
Qual é a melhor maneira de cumprir a legislação e os regulamentos de proteção de dados
pessoais?
A. Realizando uma análise de ameaças.
B. Manter um registo de incidentes.
C. Realizando uma análise de vulnerabilidade.
D. Nomear a responsabilidade de alguém.
QUESTION 4
Houve um incêndio em uma filial da empresa Centro-Oeste de Seguros.
O Corpo de Bombeiros rapidamente chegou ao local e pôde extinguir o fogo antes que ele se
espalhasse e queimasse todo o local.
O servidor, no entanto, foi destruído pelo fogo. As fitas de backup mantidas em outra sala foram
derretidas e muitos outros documentos foram perdidos para sempre.
O que é um exemplo de danos indiretos causados por este fogo?
A. Fitas de backup derretidas.
B. Sistemas de computadores queimados.
C. Documentos queimados.
D. Danos causados pela água devido aos extintores de incêndio.
QUESTION 5
Há uma impressora de rede no corredor da empresa onde você trabalha.
Muitos funcionários não pegam suas impressões imediatamente e as deixam na impressora.
Quais são as consequências disso para a confiabilidade da informação?
A. A integridade das informações não é mais garantida.
B. The availability of the information is no longer guaranteed.
C. A confidencialidade da informação não é mais garantida.
QUESTION 6
Qual é a relação entre Dados e Informações?
A. Os dados são informação estruturada.
B. A informação é o significado e o valor atribuído a um conjunto de dados.
QUESTION 7
O que é uma ameaça humana para a confiabilidade das informações sobre o site da sua empresa?
A. Um de seus empregados comete um erro no preço de um produto em seu site.
B. O computador que hospeda o seu site está sobrecarregado e falha. Seu site está offline.
C. Devido à falta de manutenção em um hidrante, surge um vazamento e inundações nas instalações.
Seus funcionários não podem entrar no escritório e, portanto, não podem manter as informações sobre
o site atualizadas.
QUESTION 8
As notas do relatório mensal de todos os sinistros reclamados por segurados da Midwest
Insurance são tratados como confidencial.
O que se consegue se todos os outros relatórios deste escritório de seguros também recebem a
classificação adequada?
A. Os custos para a automatização são mais fáceis de cobrar para os departamentos responsáveis.
B. Uma determinação pode ser feita sobre qual relatório deve ser impresso pela primeira vez e que se
pode esperar um pouco mais.
C. Todos podem facilmente ver o quão sensível o conteúdo dos relatórios são, se consultado a etiqueta de
classificação.
D. Os relatórios podem ser desenvolvidos com maior facilidade e com menos erros.
QUESTION 9
Login em um sistema de computador é um processo de concessão de acesso que consiste em três
etapas:
Identificação, Autenticação e Autorização.
O que ocorre durante a etapa do processo Identificação?
A. O primeiro passo consiste em verificar se o usuário está usando o certificado correto.
B. O primeiro passo consiste em verificar se o usuário aparece na lista de usuários autorizados.
C. O primeiro passo consiste em comparar a senha com a senha registrada.
D. O primeiro passo consiste em conceder o acesso à informação que o usuário está autorizado.
QUESTION 10
Na organização onde você trabalha, informações de natureza muito sensível são processadas.
A Administração está legalmente obrigada a implementar as medidas de segurança ao mais alto
nível.
Como é chamado este tipo de estratégia de risco?
A. Risco de rolamento.
B. Evitar o Risco.
C. Neutralizar o Risco.
QUESTION 11
O ato de tomar medidas de segurança organizacionalestá intimamente ligado com todas as outras
medidas que têm de ser tomadas.
Qual é o nome do sistema que garante a coerência da segurança da informação na organização?
A. Informações do Sistema de Gestão de Segurança (ISGS) / Information Security Management System
(ISMS).
B. Rootkit.
C. Regras de segurança para informações especiais para o governo.
QUESTION 12
Você é o proprietário do serviço de correio da SpeeDelivery.
Por causa do crescimento da empresa você precisa pensar em segurança da informação.
Você sabe que você tem que começar a criar uma política.
Por que é tão importante ter uma política de segurança da informação como um ponto de partida?
A. A política de segurança da informação dá a direção para os esforços de segurança da informação.
B. A política de segurança da informação fornece instruções para a prática diária da segurança da
informação.
C. A política de segurança da informação estabelece quais dispositivos serão protegidos.
D. A política de segurança da informação estabelece quem é responsável por qual área de segurança da
informação.
QUESTION 13
O que é uma medida de repressão, no caso de um incêndio?
A. Fazer um seguro de incêndio.
B. Apagar um incêndio depois de ter sido detectado por um detector de incêndio.
C. Reparação dos danos causados pelo fogo.
QUESTION 14
Os consultores da Smith Consultants Inc. trabalham com laptops, que são protegidos por
criptografia assimétrica.
Para manter a gestão das chaves a um custo baixo, todos os consultores usar o mesmo par de
chaves.
Qual é o risco da empresa se eles funcionam dessa maneira?
A. Se a chave privada se tornar conhecida, deve-se fornecer novas chaves para todos os laptops.
B. Se a Infraestrutura de Chave Pública (ICP) ou Public Key Infrastructure (PKI) torna-se conhecida, deve-
se fornecer novas chaves para todos os laptops.
C. Se a chave pública for descoberta, todos os laptops devem ser fornecidos com novas chaves.
QUESTION 15
Você é o proprietário de uma empresa em crescimento, SpeeDelivery, que fornece serviços de
correio.
Você decide que é hora de elaborar uma análise de risco para o seu sistema de informação.
Isto inclui um inventário das ameaças e riscos.
Qual é a relação entre a análise de ameaças, riscos e análises risco?
A. A análise de risco identifica ameaças dos riscos conhecidos.
B. A análise de risco é usada para esclarecer quais as ameaças são relevantes e quais os riscos que eles
envolvem.
C. Uma análise de risco é usada para remover o risco de uma ameaça.
D. As análises de risco ajudam a encontrar um equilíbrio entre as ameaças e riscos.
QUESTION 16
Você se candidata a um cargo em outra empresa consegue o trabalho.
Junto com seu contrato, você é solicitado a assinar um código de conduta.
O que é um código de conduta?
A. Um código de conduta especifica como os funcionários devem se comportar e é o mesmo para todas
as empresas.
B. Um código de conduta é uma parte normal do contrato de trabalho.
C. Um código de conduta difere de empresa para empresa e especifica, entre outras coisas, as regras de
comportamento no que diz respeito ao uso de sistemas de informação.
QUESTION 17
Meu perfil do usuário especifica quais unidades de rede que eu posso ler e escrever.
Qual é o nome do tipo de gerenciamento de acesso lógico que em meu acesso e direitos são
determinados centralmente?
A. Controle de Acesso Discricionário (DAD) ou Access Control (DAC).
B. Controle de Acesso Mandatório (CAM) ou Mandatory Access Control (MAC).
C. Infraestrutura de Chave Pública (ICP) ou Public Key Infrastructure (PKI).
QUESTION 18
Algumas medidas de segurança são opcionais.
Devem sempre ser tomadas outras medidas de segurança.
Quais as medidas que devem ser sempre implementadas?
A. Política de mesa limpa.
B. Medidas de segurança física.
C. Medidas de segurança de acesso lógico.
D. Medidas exigidas por leis e regulamentos.
QUESTION 19
A Centro-Oeste Seguros controla o acesso a seus escritórios com um sistema de senha.
Chamamos isso de uma medida preventiva.
Quais são algumas outras medidas?
A. Detecção, medidas repressivas e corretivas.
B. Medidas parciais, adaptativas e corretivas.
C. Medidas repressivas, adaptativas e corretivas.
QUESTION 20
Você é o proprietário do serviço de correio SpeeDelivery.
No ano passado, você tinha um firewall instalado. Agora você descobre que a manutenção não foi
executada desde a instalação. 
Qual é o maior risco por causa disso?
A. O risco de que hackers podem fazer o que quiserem na rede sem detecção.
B. O risco de que o fogo pode sair na sala do servidor.
C. O risco de uma epidemia de vírus.
D. O risco de e-mails indesejados.
QUESTION 21
Alguns anos atrás, você começou a sua empresa que já cresceu entre 1 a 20 funcionários.
Suas informações da empresa valem mais e mais e já são muitos os dias em que você poderia
manter tudo isso sobre controle.
Você está ciente de que você tem que tomar medidas, mas o que deve ser feito?
Você contrata um consultor que aconselha a começar com uma análise de risco qualitativa.
O que é uma análise qualitativa de riscos?
A. Esta análise segue um cálculo de probabilidade estatística precisa, a fim de calcular a perda exata
causada por danos.
B. Esta análise é baseada em cenários e situações e produz uma visão subjetiva das possíveis ameaças.
QUESTION 22
Susan envia um e-mail para Paul.
Quem determina o significado e o valor da informação contida neste e-mail?
A. Paul, o receptor da informação.
B. Paul e Susan, o remetente e o destinatário da informação.
C. Susan, o remetente da informação.
QUESTION 23
Qual medida garante que informações valiosas não ficam expostas e disponíveis para acesso?
A. Política de mesa limpa.
B. Detecção por infravermelho.
C. Passe de acesso.
QUESTION 24
O que é um exemplo de uma boa medida de segurança física?
A. Todos os funcionários e visitantes munidos de um cartão de acesso.
B. Impressoras que estão com defeito ou foram substituídas são imediatamente removidas e dadas como
lixo para reciclagem.
C. Pode ser dado acesso rápido e desimpedido para a área do servidor em caso de desastre para a
equipe de manutenção.
QUESTION 25
Você leu nos jornais que o ex-empregado de uma grande empresa sistematicamente eliminou
arquivos por vingança contra o seu gerente.
Recuperar esses arquivos causou grandes perdas de tempo e dinheiro.
Como é chamado este tipo de ameaça?
A. Ameaça humana.
B. Ameaça natural.
C. Engenharia social.
QUESTION 26
O que é um ato legislativo ou regulamentar relacionado à segurança da informação que pode ser
imposto a todas as organizações?
A. ISO/IEC 27001:2005.
B. Direitos de Propriedade Intelectual.
C. ISO/IEC 27002:2005.
D. Legislação de proteção de dados pessoais.
QUESTION 27
Você é o primeiro a chegar ao trabalho de manhã e percebe que o CD-ROM em que você salvou os
contratos ontem desapareceu.
Você foi o último a sair ontem.
Quando você deve relatar o incidente de segurança da informação?
A. Este incidente deve ser relatado imediatamente.
B. Você deve primeiro investigar este incidente por si mesmo e tentar limitar os danos.
C. Você deve esperar alguns dias antes de relatar o incidente. O CD-ROM ainda pode reaparecer e,
nesse caso, você terá feito um barulho por nada.
QUESTION 28
Uma empresa holandesa requisitou ser listada na Bolsa de Valores Americana.
Qual a legislação no âmbito da segurança da informação é relevante neste caso?
A. Lei de Registros Públicos.
B. Direito Tributário holandês.
C. Lei Sarbanes-Oxley.
D. Regras de segurança para o governo holandês.
QUESTION 29
Você possui uma pequena empresa em uma área industrial remota.
Ultimamente, o alarme se desliga regularmente no meio da noite. Leva um pouco de tempo para
obter uma resposta de funcionamento e o equipamento sempre emite falsos alarmes.
Você decide montar uma câmera escondida.
Como se chama uma medida desse tipo?
A. Medida de detecção.
B. Medida preventiva.
C. Medida repressiva.
QUESTION 30
Na Centro-Oeste Seguros, todas as informações são confidenciais.Qual é o objetivo desta classificação de informação?
A. Para criar um guia sobre como lidar com dispositivos móveis.
B. Aplicação de etiquetas que tornam a informação mais fácil de reconhecer.
C. Estruturação da informação de acordo com a sua sensibilidade.
QUESTION 31
Qual das ameaças listadas abaixo podem ocorrer como resultado da ausência de um ato físico?
A. Um usuário pode visualizar os arquivos pertencentes a outro usuário.
B. Um servidor é desligado devido superaquecimento.
C. Um documento confidencial é deixado na impressora.
D. Hackers podem entrar livremente na rede de computadores.
QUESTION 32
Qual é a melhor descrição de uma análise de risco?
A. A análise de risco é um método de mapeamento de riscos, sem olhar para os processos da empresa.
B. A análise de risco ajuda a estimar os riscos e desenvolver as medidas de segurança apropriadas.
C. A análise de risco calcula as consequências financeiras exatas de perdas e danos.
QUESTION 33
Qual é o objetivo da política de segurança de uma organização?
A. Para fornecer orientação e apoio para a segurança da informação.
B. Para definir todas as ameaças e medidas para garantir a segurança da informação.
C. Para documentar todos os incidentes que ameaçam a confiabilidade da informação.
D. Para documentar todos os procedimentos necessários para manter a segurança da informação.
QUESTION 34
O Gerente de Segurança da Informação (GSI) da Smith Consultants Inc. introduz as seguintes
medidas para garantir a segurança da informação:
Os requisitos de segurança para a rede são especificados.
Um ambiente de teste é criado com a finalidade de relatórios de testes que vêm do banco de
dados.
São atribuídos direitos de acesso correspondentes as diversas funções dos empregados.
Passes de acesso RFID são introduzidos no edifício.
Qual destas medidas não é uma medida técnica?
A. A especificação dos requisitos para a rede.
B. A criação de um ambiente de teste.
C. Introdução de uma política de acesso lógico.
D. Introdução de acesso RFID.
QUESTION 35
Uma empresa se muda para um novo edifício. Algumas semanas após a mudança, um visitante
aparece sem avisar no escritório do diretor.
Uma investigação mostra que os visitantes passam a ter o mesmo tipo de acesso dos funcionários
da empresa.
Que tipo de medida de segurança poderia ter evitado isso?
A. Uma medida de segurança física.
B. Uma medida de segurança organizacional.
C. Uma medida de segurança técnica.
QUESTION 36
Você tem um escritório que projeta logotipos corporativos. Você foi trabalhar num projeto para um
grande cliente.
Exatamente quando você está indo pressionar o botão Salvar, a tela fica em branco. O disco rígido
está danificado e não pode ser reparado.
Você encontra uma versão inicial do projeto em seu e-mail e você reproduz o projeto para o
cliente. 
Como é chamado uma medida desse tipo?
A. Medida corretiva.
B. Medida preventiva.
C. Medida redutiva.
QUESTION 37
Você é o dono da empresa SpeeDelivery courier. Você realizou uma análise de risco e agora
querem determinar a sua estratégia de risco.
Você decide tomar medidas para os grandes riscos, mas não para os pequenos riscos.
Como é chamado essa estratégia de risco?
A. Risco de rolamento.
B. Evitar arriscar.
C. Neutro ao risco.
QUESTION 38
Três características determinam a confiabilidade das informações.
Que características são essas?
A. Disponibilidade, integridade e exatidão.
B. Disponibilidade, integridade e confidencialidade.
C. Disponibilidade, não-repúdio e confidencialidade.
QUESTION 39
Quais medidas são uma ameaça humana intencional?
A. Incêndio proposital.
B. Roubo de um laptop.
C. Engenharia social.
D. Uso incorreto de equipamentos como o extintor de incêndio.
Exam C
QUESTION 1
Qual a relação entre dados e informações? 
A. Dados são informações estruturadas.
B. Informações são o significado e o valor atribuídos a uma coleção de dados.
QUESTION 2
A fim de ter uma apólice de seguro de incêndio, o departamento administrativo deve determinar o
valor dos dados que gerencia.
Qual fator não é importante para determinar o valor dos dados para uma organização? 
A. O conteúdo dos dados.
B. O grau em que, dados ausentes incompletos ou incorretos podem ser recuperados.
C. A indispensabilidade dos dados para os processos de negócio.
D. Importância dos processos de negócios que fazem uso dos dados.
QUESTION 3
Um hacker obtém acesso a um servidor Web e pode exibir um arquivo no servidor que contém
números de cartão de crédito.
Quais princípios de confidencialidade, integridade e disponibilidade (CIA) do arquivo de cartão de
crédito são violados? 
A. Disponibilidade.
B. Confidencialidade.
C. Integridade.
QUESTION 4
Existe uma impressora de rede no corredor da empresa onde você trabalha.
Muitos funcionários não vão pegar suas impressões imediatamente e deixam o material na
impressora.
Quais são as consequências disto com relação à confiabilidade das informações? 
A. A integridade das informações não pode mais ser garantida.
B. A disponibilidade das informações não pode mais ser garantida.
C. A confidencialidade das informações não pode mais ser garantida.
QUESTION 5
Qual das abaixo não é um dos quatro principais objetivos da análise de risco?
A. Identificação dos ativos e seus valores.
B. Implementação de contramedidas.
C. Estabelecimento do equilíbrio entre os custos de um incidente e os custos de medidas de segurança.
D. Determinação de vulnerabilidades e ameaças relevantes.
QUESTION 6
Um departamento administrativo vai determinar os riscos aos quais está exposto.
Como denominamos um possível evento que possa comprometer a confiabilidade da informação? 
A. Dependência.
B. Ameaça.
C. Vulnerabilidade.
D. Risco.
QUESTION 7
Qual é o propósito do gerenciamento de risco?
A. Determinar a probabilidade de ocorrência de um certo risco.
B. Determinar os danos causados por possíveis incidentes de segurança.
C. Delinear as ameaças a que estão expostos os recursos de TI.
D. Utilizar medidas para reduzir os riscos para um nível aceitável.
QUESTION 8
Há alguns anos você começou sua empresa, que já cresceu de 1 para 20 empregados.
As informações de sua empresa valem mais e mais e já passaram os dias em que você podia
manter tudo em suas próprias mãos.
Você está ciente de que precisa tomar medidas, mas quais? Você contrata um consultor, que o
aconselha a começar com uma análise de risco qualitativa.
O que é uma análise de risco qualitativa?
A. Esta análise segue um cálculo preciso de probabilidade estatística a fim de calcular a exata perda
causada pelo dano.
B. Esta análise é baseada em cenários e situações e produz uma visão subjetiva de possíveis ameaças.
QUESTION 9
Houve um incêndio em uma filial da companhia Midwest Insurance.
Os bombeiros chegaram rapidamente ao local e puderam apagar o fogo antes que se espalhasse e
queimasse toda a instalação.
O servidor, entretanto, foi destruído pelo fogo. As fitas de segurança (backup) mantidas em outra
sala derreteram e muitos outros documentos foram perdidos definitivamente. 
Qual é um exemplo de dano indireto causado pelo incêndio? 
A. Fitas de segurança (backup) derretidas.
B. Sistemas de computação queimados.
C. Documentos queimados.
D. Danos provocados pela água dos extintores de incêndio.
QUESTION 10
Você é o proprietário de uma companhia de correio (courier), SpeeDelivery.
Você realizou uma análise de risco e agora quer determinar sua estratégia de risco.
Você decide tomar medidas contra os grandes riscos, mas não contra os pequenos riscos.
Como é chamada a estratégia de risco adotada neste caso? 
A. Retenção de risco.
B. Prevenção de risco.
C. Redução de risco.
QUESTION 11
O que é um exemplo de uma ameaça humana?
A. Um pen drive que passa vírus para a rede.
B. Muito pó na sala do servidor.
C. Um vazamento que causa uma falha no fornecimento de eletricidade.
QUESTION 12
O que é um exemplo de uma ameaça humana?
A. Um relâmpago.
B. Fogo.
C. Phishing.
QUESTION 13
Você trabalha no escritório de umagrande companhia.
Você recebe um telefonema de uma pessoa dizendo ser do helpdesk.
Ela pede para que você lhe diga sua senha.
Que tipo de ameaça é esta? 
A. Ameaça natural.
B. Ameaça organizacional.
C. Engenharia social.
QUESTION 14
Um incêndio interrompe os trabalhos da filial de uma empresa de seguros de saúde.
Os funcionários são transferidos para escritórios vizinhos para continuar seu trabalho.
No ciclo de vida do incidente, onde são encontrados os acordos stand-by (plano de contingência)? 
A. Entre a ameaça e o incidente.
B. Entre a recuperação e a ameaça.
C. Entre os danos e a recuperação.
D. Entre o incidente e os danos.
QUESTION 15
Informações envolvem inúmeros aspectos de confiabilidade, a qual é constantemente ameaçada.
Exemplos de ameaças são: um cabo se soltar, informações alteradas por acidente, dados que são
usados para fins particulares ou falsificados.
Qual destes exemplos é uma ameaça à confidencialidade?
A. Um cabo solto.
B. Exclusão acidental de dados.
C. Utilização privada de dados.
QUESTION 16
Um funcionário nega o envio de uma mensagem específica.
Qual o aspecto de confiabilidade da informação está em risco aqui?
A. Disponibilidade.
B. Exatidão.
C. Integridade.
D. Confidencialidade.
QUESTION 17
Qual a melhor maneira de descrever o objetivo da política de segurança da informação? 
A. A política documenta a análise de riscos e a busca de contramedidas.
B. A política fornece orientação e apoio à gestão em matéria de segurança da informação.
C. A política torna o plano de segurança concreto, fornecendo-lhe os detalhes necessários.
D. A política fornece percepções sobre as ameaças e as possíveis consequências.
QUESTION 18
Um incidente de segurança relacionado com um servidor Web é relatado a um funcionário do
helpdesk.
Sua colega tem mais experiência em servidores Web; então, ele transfere o caso para ela.
Qual termo descreve essa transferência? 
A. Escalonamento funcional.
B. Escalonamento hierárquico.
QUESTION 19
Uma funcionária trabalhador de uma companhia de seguros descobre que a data de validade de
uma política foi alterada sem seu conhecimento. Ela é a única pessoa autorizada a fazer isso. Ela
relata este incidente de segurança ao helpdesk. O atendente do helpdesk registra as seguintes
informações sobre este incidente:
- data e hora
- descrição do incidente
- possíveis consequências do incidente 
Qual a informação mais importante sobre o incidente está faltando aqui?
A. O nome da pessoa que denunciou o incidente.
B. O nome do pacote de software.
C. O número do PC.
D. Uma lista de pessoas que foram informadas sobre o incidente.
QUESTION 20
No ciclo de incidente há quatro etapas sucessivas.
Qual é a etapa que sucede o incidente? 
A. Ameaça.
B. Dano.
C. Recuperação.
QUESTION 21
Qual das seguintes medidas é uma medida preventiva?
A. Instalação de um sistema de registro de eventos (log) que permite que mudanças em um sistema
sejam reconhecidas.
B. Desativação de todo tráfego internet depois que um hacker ganhou acesso aos sistemas da
companhia.
C. Armazenamento de informações sigilosas em um cofre.
QUESTION 22
Qual das opções abaixo é uma medida repressiva em caso de incêndio?
A. Fazer um seguro contra incêndio.
B. Apagar o fogo depois que o incêndio for detectado pelo detector de incêndio.
C. Reparar os danos causados pelo incêndio.
QUESTION 23
Qual é o objetivo da classificação da informação?
A. Criar um manual sobre como manusear dispositivos móveis.
B. Aplicar identificações que facilitem o reconhecimento das informações.
C. Estruturar as informações de acordo com sua confidencialidade
QUESTION 24
Quem é autorizado a mudar a classificação de um documento? 
A. O autor do documento.
B. O administrador do documento.
C. O proprietário do documento.
D. O gerente do proprietário do documento.
QUESTION 25
O acesso à sala de computadores está bloqueado por um leitor de crachás.
Somente o Departamento de Gerenciamento de Sistemas tem um crachá.
Que tipo de medida de segurança é essa? 
A. Uma medida de segurança corretiva.
B. Uma medida de segurança física.
C. Uma medida de segurança lógica.
D. Uma medida de segurança repressiva.
QUESTION 26
A autenticação forte é necessária para acessar áreas altamente protegidas.
Em caso de autenticação forte a identidade de uma pessoa é verificada através de três fatores. 
Qual fator é verificado quando é preciso mostrar um crachá de acesso? 
A. Algo que você é.
B. Algo que você tem.
C. Algo que você sabe.
QUESTION 27
Na segurança física, múltiplas zonas em expansão (anéis de proteção) podem ser aplicadas, nas
quais diferentes medidas podem ser adotadas.
O que não é um anel de proteção? 
A. Edifício.
B. Anel médio.
C. Objeto.
D. Anel externo.
QUESTION 28
Qual das ameaças listadas abaixo pode ocorrer como resultado da ausência de uma medida de
segurança física? 
A. Um usuário pode ver os arquivos pertencentes a outro.
B. Um servidor é desligado por causa de superaquecimento.
C. Um documento confidencial é deixado na impressora.
D. Hackers podem entrar livremente na rede de computadores.
QUESTION 29
Qual das seguintes medidas de segurança é uma medida técnica? 
A. Atribuição de informações a um proprietário.
B. Criptografia de arquivos.
C. Criação de uma política que define o que é e não é permitido no e-mail.
D. Armazenamento de senhas de gerenciamento do sistema em um cofre.
QUESTION 30
As cópias de segurança (backup) do servidor central são mantidas na mesma sala fechada que o
servidor.
Que risco a organização enfrenta? 
A. Se o servidor falhar, levará um longo tempo antes que o servidor esteja novamente em funcionamento.
B. Em caso de incêndio, é impossível recuperar o sistema ao seu estado anterior.
C. Ninguém é responsável pelos backups.
D. Pessoas não autorizadas têm acesso fácil aos backups.
QUESTION 31
Que tipo de malware cria uma rede de computadores contaminados?
A. Bomba Lógica.
B. Storm Worm ou Botnet.
C. Cavalo de Troia.
D. Spyware.
QUESTION 32
Em uma organização, o agente de segurança detecta que a estação de trabalho de um funcionário
está infectada com software malicioso.
O software malicioso foi instalado como resultado de um ataque direcionado de phishing.
Qual ação é a mais benéfica para evitar esses incidentes no futuro? 
A. Implementar a tecnologia MAC.
B. Iniciar um programa de conscientização de segurança.
C. Atualizar as regras do firewall
D. Atualizar as assinaturas do filtro de spam.
QUESTION 33
Você trabalha no departamento de TI de uma empresa de tamanho médio. Informações
confidenciais têm caído em mãos erradas por várias vezes.
Isso tem prejudicado a imagem da companhia. Você foi solicitado a propor medidas de segurança
organizacional em laptops para sua companhia.
Qual o primeiro passo que você deveria dar? 
A. Formular uma política para tratar da segurança de dispositivos móveis (PDAs, laptops, smartphones,
pen drive).
B. Designar uma equipe de segurança.
C. Criptografar os discos rígidos dos laptops e mídias de armazenamento externo, como pen drives.
D. Estabelecer uma política de controle de acesso.
QUESTION 34
Qual é o nome do sistema que garante a coerência da segurança da informação na organização?
A. Sistema de Gestão de Segurança da Informação (ISMS).
B. Rootkit.
C. Regulamentos de segurança para informações especiais do governo.
QUESTION 35
Como se chama o processo de “definir se a identidade de alguém é correta”?
A. Autenticação.
B. Autorização.
C. Identificação.
QUESTION 36
Por que é necessário manter um plano de recuperação de desastres atualizados e testá-lo
regularmente?
A. A fim de sempre ter acesso às cópias de segurança (backups) recentes, que estão localizadas fora do
escritório.
B. Para ser capaz de lidar com as falhas que ocorrem diariamente.
C. Porque, de outra forma, na eventualidade de uma grande interrupção, as medidas tomadas e os
procedimentos previstos podem não ser adequados ou podem estar desatualizados.
D. Porque isso é exigido pela Lei de Proteçãode Dados Pessoais.
QUESTION 37
Com base em qual legislação alguém pode pedir para inspecionar seus dados pessoais que tenham
sido registrados?
A. A Lei de Registros Públicos.
B. A Lei de Proteção de Dados Pessoais.
C. A Lei de Crimes de Informática.
D. A Lei de Acesso Público a Informações do Governo.
QUESTION 38
Qual é a legislação ou ato regulatório relacionado à segurança da informação que pode ser imposto
a todas as organizações?
A. Direito de Propriedade Intelectual.
B. ISO/IEC 27001:2005.
C. ISO/IEC 27002:2005.
D. Legislação de proteção de dados pessoais.
QUESTION 39
Você é o proprietário de uma companhia de correio (courier), SpeeDelivery.
Você emprega algumas pessoas que, enquanto esperam para fazer as entregas, podem realizar
outras tarefas.
Você percebe, no entanto, que eles usam esse tempo para enviar e ler seus e-mails particulares e
navegar na Internet.
Em termos legais, de que forma o uso da internet e do e-mail pode ser melhor regulado? 
A. Instalando um aplicativo que impeça o acesso a certos sites da Internet e que realizem filtragem em
arquivos anexados a e-mails.
B. Elaborando um código de conduta para o uso da internet e do e-mail, no qual os direitos e obrigações
tanto do empregador quanto dos empregados estejam claramente declarados.
C. Implementando normas de privacidade.
D. Instalando rastreadores de vírus.
QUESTION 40
Em quais condições é permitido a um empregador verificar se os serviços de Internet e e-mail no
ambiente de trabalho estão sendo utilizados para finalidades pessoais?
A. O empregador poderá fazer essa verificação, se o funcionário for informado depois de cada sessão de
verificação.
B. O empregador poderá fazer essa verificação se os funcionários forem informados que isso pode
acontecer.
C. O empregador poderá fazer essa verificação se um firewall também estiver instalado.
Exam D
QUESTION 1
Você recebeu do seu contador uma cópia da sua declaração fiscal e deve verificar se os dados
estão corretos.
Qual característica de confiabilidade da informação que você está verificando?
A. Disponibilidade.
B. Exclusividade.
C. Integridade.
D. Confidencialidade.
QUESTION 2
A fim de ter uma apólice de seguro de incêndio, o departamento administrativo deve determinar o
valor dos dados que ele gerencia.
Qual fator não é importante para determinar o valor de dados para uma organização?
A. O conteúdo dos dados.
B. O grau em que a falta, dados incompletos ou incorretos podem ser recuperados.
C. A indispensabilidade dos dados para os processos de negócio.
D. importância dos processos de negócios que fazem uso dos dados.
QUESTION 3
Nosso acesso à informação é cada vez mais fácil. Ainda assim, a informação tem de ser confiável, a
fim de ser utilizável.
O que não é um aspecto de confiabilidade da informação?
A. Disponibilidade.
B. Integridade.
C. Quantidade.
D. Confidencialidade.
QUESTION 4
"Completeza" faz parte de qual aspecto de confiabilidade da informação?
A. Disponibilidade.
B. Exclusividade.
C. Integridade.
D. Confidencialidade.
QUESTION 5
Um departamento administrativo vai determinar os perigos aos quais está exposto.
O que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade
da informação?
A. Dependência.
B. Ameaça.
C. Vulnerabilidade.
D. Risco.
QUESTION 6
Qual é o propósito do gerenciamento de risco?
A. Determinar a probabilidade de que um certo risco ocorrerá.
B. Determinar os danos causados por possíveis incidentes de segurança.
C. Delinear as ameaças a que estão expostos os recursos de TI.
D. Utilizar medidas para reduzir os riscos para um nível aceitável.
QUESTION 7
Qual das afirmações sobre a análise de risco é a correta?
1. Riscos que são apresentados em uma análise de risco podem ser classificados.
2. Numa análise de risco todos os detalhes têm que ser considerados.
3. A análise de risco limita-se à disponibilidade.
4. A análise de risco é simples de efetuar através do preenchimento de um pequeno questionário
padrão com perguntas padrão.
A. 1.
B. 2.
C. 3.
D. 4.
QUESTION 8
Qual dos exemplos abaixo pode ser classificado como fraude?
1. Infectar um computador com um vírus.
2. Realização de uma operação não autorizada
3. Divulgação de linhas de comunicação e redes.
4. Utilização da Internet no trabalho para fins privados.
A. 1.
B. 2.
C. 3.
D. 4.
QUESTION 9
Um risco possível para uma empresa é dano por incêndio.
Se essa ameaça ocorre, isto é, se um incêndio na verdade eclode, danos diretos e indiretos podem
ocorrer.
O que é um exemplo de prejuízo direto?
A. Um banco de dados é destruído.
B. Perda de imagem.
C. Perda de confiança do cliente.
D. Obrigações legais não podem mais ser satisfeitas.
QUESTION 10
A fim de reduzir os riscos, uma empresa decide optar por uma estratégia de um conjunto de
medidas.
Uma das medidas é que um acordo stand-by é organizado para a empresa.
A que tipo de medidas um acordo stand-by pertence?
A. Medidas corretivas.
B. Medidas detectivas.
C. Medidas preventivas.
D. Medidas repressivas.
QUESTION 11
O que é um exemplo de uma ameaça humana?
A. Um pen drive que passa vírus para a rede.
B. Muito pó na sala do servidor.
C. Um vazamento que causa uma falha no fornecimento de eletricidade.
QUESTION 12
O que é um exemplo de uma ameaça humana?
A. Um apagão
B. Fogo
C. Phishing
QUESTION 13
A confiabilidade é constantemente ameaçada.
Exemplos de ameaças são: um cabo se soltar, a informação que alguém altera por acidente, dados
que são usados para fins particulares ou falsificados.
Qual destes exemplos é uma ameaça à confidencialidade?
A. Um cabo solto.
B. Exclusão acidental de dados.
C. Utilização privada de dados.
D. Falsificação de dados.
QUESTION 14
Um empregado nega o envio de uma mensagem específica.
Qual o aspecto de confiabilidade da informação está em perigo aqui?
A. Disponibilidade.
B. Exatidão.
C. Integridade.
D. Confidencialidade.
QUESTION 15
No ciclo de incidente há quatro etapas sucessivas.
Qual é a ordem dessas etapas?
A. Ameaça, Dano, Incidente, Recuperação.
B. Ameaça, Incidente, Dano, Recuperação.
C. Incidente, Ameaça, Dano, Recuperação.
D. Incidente, Recuperação, Dano, Ameaça.
QUESTION 16
Um incêndio interrompe os trabalhos da filial de uma empresa de seguros de saúde.
Os funcionários são transferidos para escritórios vizinhos para continuar seu trabalho.
No ciclo de vida do incidente, onde são encontrados os arranjos de continuidade?
A. Entre a ameaça e o incidente.
B. Entre a recuperação e a ameaça.
C. Entre o dano e a recuperação.
D. Entre o incidente e os danos.
QUESTION 17
Como é melhor descrito o objetivo da política de segurança da informação?
A. A política documenta a análise de riscos e a busca de medidas de contorno.
B. A política fornece orientação e apoio à gestão em matéria de segurança da informação.
C. A política torna o plano de segurança concreto, fornecendo-lhe os detalhes necessários.
D. A política fornece percepções sobre as ameaças e as possíveis consequências.
QUESTION 18
O código de conduta para os negócios eletrônicos (e-business) é baseado em uma série de
princípios.
Quais dos seguintes princípios não pertencem?
A. Confiabilidade.
B. Registro.
C. Confidencialidade e privacidade.
QUESTION 19
Um trabalhador da companhia de seguros Euregio descobre que a data de validade de uma política
foi alterada sem seu conhecimento. Ela é a única pessoa autorizada a fazer isso. Ela relata este
incidente de segurança ao Helpdesk. O atendente do help desk registra as seguintes informações
sobre este incidente:
- data e hora
- descrição do incidente
- possíveis conseqüências do incidente
Que informação importante sobre o incidente está faltando aqui?
A. O nome da pessoa que denunciou o incidente.
B. O nome do pacote de software.
C. O número do PC.
D. Uma lista de pessoas que foram informadas sobre o incidente.
QUESTION 20
Uma empresa experimenta os seguintes incidentes:
1. Um alarme de incêndio não funciona.
2. A rede é invadida.
3. Alguém finge ser ummembro do quadro de pessoal.
4. Um arquivo no computador não pode ser convertido em um arquivo PDF.
Qual destes incidentes não é um incidente de segurança?
A. 1.
B. 2.
C. 3.
D. 4.
QUESTION 21
As medidas de segurança podem ser agrupadas de várias maneiras.
Qual das seguintes é correta?
A. Física, lógica, preventiva.
B. Lógica repressiva, preventiva.
C. Organizacional, preventiva, corretiva, física.
D. Preventiva, detectiva, repressiva, corretiva.
QUESTION 22
Um alarme de fumaça é colocado em uma sala de computadores.
Sob qual categoria de medidas de segurança este item se enquadra?
A. Corretiva.
B. Detectiva.
C. Organizacional.
D. Preventiva.
QUESTION 23
O Security Officer (ISO-Information Security Officer), da companhia de seguros Euregio deseja ter
uma lista de medidas de segurança em conjunto.
O que ele tem que fazer, primeiramente, antes de selecionar as medidas de segurança a serem
implementadas?
A. Implantar o monitoramento.
B. Realizar uma avaliação.
C. Formular uma política de segurança da informação.
D. Realizar uma análise de risco.
QUESTION 24
Qual é a finalidade da classificação das informações?
A. Determinar quais tipos de informações podem requerer diferentes níveis de proteção.
B. Atribuir informações a um proprietário.
C. Reduzir os riscos de erro humano.
D. Impedir o acesso não autorizado a informações.
QUESTION 25
A autenticação forte é necessária para acessar áreas altamente protegidas.
Em caso de autenticação forte a identidade de uma pessoa é verificada através de três fatores.
Qual fator é verificado quando é preciso digitar um número de identificação pessoal (PIN)?
A. Algo que você é
B. Algo que você tem
C. Algo que você sabe
QUESTION 26
O acesso à sala de computadores está fechado usando um leitor de crachás.
Somente o Departamento de Sistemas de Gestão tem um crachá.
Que tipo de medida de segurança é essa?
A. Uma medida de segurança de correção.
B. Uma medida de segurança física.
C. Uma medida de segurança lógica.
D. Uma medida de segurança repressiva.
QUESTION 27
Quatro membros do pessoal do departamento de TI compartilham um mesmo crachá.
A que risco este fato pode levar?
A. Se a energia falhar, os computadores vão ficar fora.
B. Se houver fogo os extintores de incêndio não podem ser usados.
C. Se alguma coisa desaparecer da sala de informática, não vai ficar claro quem é responsável.
D. Pessoas não autorizadas podem ter acesso à sala de computadores sem serem vistas.
QUESTION 28
No salão de recepção de um escritório da administração, há uma impressora que todos os
funcionários podem usar em caso de emergência.
O arranjo é que as impressões devem ser recolhidas imediatamente, para que elas não possam ser
levadas por um visitante.
Qual outro risco para a informação da empresa que esta situação traz?
A. Os arquivos podem permanecer na memória da impressora.
B. Visitantes seriam capazes de copiar e imprimir as informações confidenciais da rede.
C. A impressora pode tornar-se deficiente através do uso excessivo, de modo que já não estará disponível
para uso.
QUESTION 29
Qual das seguintes medidas de segurança é uma medida técnica?
1. Atribuição de Informações a um dono
2. Criptografia de arquivos
3. Criação de uma política de definição do que é e não é permitido no e-mail
4. Senhas do sistema de gestão armazenadas em um cofre
A. 1.
B. 2.
C. 3.
D. 4.
QUESTION 30
As cópias de segurança (backup) do servidor central são mantidas na mesma sala fechada como o
servidor. Que risco a organização enfrenta?
A. Se o servidor falhar, levará um longo tempo antes que o servidor esteja novamente operacional.
B. Em caso de incêndio, é impossível obter o sistema de volta ao seu estado anterior.
C. Ninguém é responsável pelos backups.
D. Pessoas não autorizadas têm acesso fácil para os backups.
QUESTION 31
Qual das tecnologias abaixo é maliciosa?
A. Criptografia.
B. Hash.
C. Virtual Private Network (VPN).
D. Vírus, worms e spyware.
QUESTION 32
Que medida não ajuda contra software mal-intencionado?
A. Uma política ativa de correções.
B. Um programa anti-spyware.
C. Um filtro anti-spam.
D. Uma senha.
QUESTION 33
O que é um exemplo de medida organizacional?
A. Cópia de segurança (backup) de dados.
B. Criptografia.
C. Segregação de funções.
D. Manutenção de equipamentos de rede e caixas de junção em uma sala trancada.
QUESTION 34
A identificação é determinar se a identidade de alguém é correta.
Esta declaração é correta?
A. Sim.
B. Não.
QUESTION 35
Por que é necessário manter um plano de recuperação de desastres atualizados e testá-lo
regularmente?
A. A fim de sempre ter acesso às cópias de segurança (backups) recentes, que estão localizadas fora do
escritório.
B. Para ser capaz de lidar com as falhas que ocorrem diariamente.
C. Porque de outra forma, na eventualidade de uma ruptura muito grande, as medidas tomadas e os
procedimentos previstos podem não ser adequados ou podem estar desatualizados.
D. Porque esta é exigida pela Lei de Proteção de Dados Pessoais.
QUESTION 36
O que é a autorização?
A. A determinação da identidade de uma pessoa.
B. O registro das ações realizadas.
C. A verificação da identidade de uma pessoa.
D. A concessão de direitos específicos, tais como o acesso seletivo para uma pessoa.
QUESTION 37
Qual norma legal importante na área de segurança da informação que o governo tem que cumprir?
A. Análise de dependência e vulnerabilidade
B. ISO/IEC 20000
C. ISO/IEC 27002
D. Leislação nacional de segurança de informação ou regulamentos.
QUESTION 38
Com base em qual legislação alguém pode pedir para inspecionar os dados que tenham sido
registrados?
A. A Lei de Registros Públicos.
B. A Lei de Proteção de Dados Pessoais.
C. A Lei de Crimes de Informática.
D. A Lei de Acesso Público a Informações do Governo.
QUESTION 39
O Código de Prática de Segurança da Informação (ISO / IEC 27002) é uma descrição de um método
de análise de risco.
Esta declaração é correta?
A. Sim.
B. Não.
QUESTION 40
O Código de Prática de Segurança da Informação (ISO / IEC 27002) só se aplica às grandes
empresas.
Esta declaração é correta?
A. Sim.
B. Não.
Exam E
QUESTION 1
O que significa o termo botnet?
A. Uma rede de computadores infectados.
B. Um site falso para enganar usuários.
C. Um tipo de trojan.
D. Um software antivírus
QUESTION 2
De que forma podemos MELHOR descrever uma infraestrutura de chave pública?
A. Um conjunto de hardware, software, pessoas, políticas e procedimentos necessários para criar,
gerenciar, armazenar e revogar certificados digitais.
B. Uma chave de criptografia pública.
C. Um certificado digital emitido por uma entidade independente
D. Uma chave secreta de domínio público
QUESTION 3
Qual estratégia de risco se refere a medidas para evitar uma ameaça de forma que ela não gere um
incidente de segurança?
A. Evitar o risco.
B. Aceitar o risco.
C. Neutralizar o risco.
D. Mitigar o risco.
QUESTION 4
Qual estratégia de risco se refere a medidas tomadas para que uma ameaça não se manifeste, ou,
se manifestar-se, o dano resultante seja mínimo?
A. Evitar o risco.
B. Aceitar o risco.
C. Neutralizar o risco.
D. Detectar o risco.
QUESTION 5
Como podemos MELHOR descrever um risco de segurança?
A. Algo com possibilidade de danificar ou levar à perda de informação.
B. Um problema que se materializou e levou à perda de informações.
C. Um incidente de segurança da informação relacionado à vulnerabilidades no sistema.
D. Roubo de bens físicos.
QUESTION 6
Qual o nome dado ao programa de computador que coleta informações de um computador de
usuário e as envia para um terceiro com a intenção de obter informações?
A. Spyware.
B. Spam.
C. Botnet.
D. Worms.
QUESTION 7
Qual o nome dado ao conjunto de ferramentas de software que são usadas frequentemente por
hackers para obter acesso a um sistema de computador?
A. Rootkit.
B. Botnet.
C. Pishing.
D. Spyware.
QUESTION 8
Em qual estratégia certos riscos são aceitos porque os custos das medidas de segurança excedemos possíveis danos e os riscos não são relevantes para a organização?
A. Evitar o risco.
B. Aceitar o risco.
C. Neutralizar o risco.
D. Eliminar o risco.
QUESTION 9
Qual a diferença essencial entre dados e informação?
A. Dados isolados podem não ter significado; informação é um conjunto de dados que tem significado.
B. Informação isolada pode não ter significado; dados são um conjunto de informações que tem
significado
QUESTION 10
Quem determina o valor da informação?
A. O destinatário que irá receber/usar a informação.
B. O autor que produziu a informação.
C. O sistema de gestão da segurança da informação (SGSI).
D. O sistema de processamento de informações.
QUESTION 11
Para proteger o valor da informação, quais são os três fatores que precisam ser observados?
A. Continuidade, integridade e disponibilidade.
B. Confidencialidade, integridade e disponibilidade.
C. Garantia, segurança e disponibilidade.
D. Suporte, segurança e disponibilidade.
QUESTION 12
Características como continuidade, robustez e disponível quando necessária referem-se ao fator:
A. Disponibilidade.
B. Garantia.
C. Integridade.
D. Confidencialidade.
QUESTION 13
Os processos operacionais da empresa podem ser dependentes de informações disponíveis nos
sistemas de TI.
Qual das seguintes medidas pode ser aplicada para aumentar a disponibilidade da informação?
A. Realizar backups dos bancos de dados com frequência, pois eles podem ser necessários caso seja
necessário uma recuperação de dados após um incidente.
B. Criar a segregação de funções para determinar quem pode acessar determinadas informações nos
sistemas.
C. Não disponibilizar as informações em sites na internet.
D. Instalar controles de acesso à informação para evitar acessos indevidos.
QUESTION 14
Qual das opções abaixo MELHOR descreve o termo confidencialidade da informação?
A. É o grau em que as informações são atualizadas e sem erros.
B. É o grau em que a informação está disponível para o usuário e para o sistema de informação que se
encontra em funcionamento o momento em que a organização precisa.
C. É o grau em que o acesso a informação está restrito a um grupo de definido de pessoas autorizadas
para terem esse acesso.
D. É o nível de privacidade da informação.
QUESTION 15
Antes da organização começar a implementar medidas de segurança, ela precisa saber em relação
ao que ela deve se proteger.
Para ajudar nisso, uma metodologia que englobe a identificação de riscos deve ser aplicada.
Qual é o nome desta metodologia?
A. Análise de riscos.
B. Gerenciamento de Incidentes.
C. Mapeamento de processos.
D. Gerenciamento de processos.
QUESTION 16
Quando uma ameaça se manifesta, por exemplo, um hacker consegue invadir a rede da empresa,
este evento é chamado de:
A. Problema.
B. Incidente de segurança da informação.
C. Falha de segurança.
D. Erro de segurança.
QUESTION 17
Um incidente de grande porte que ameaça a continuidade da empresa, como por exemplo falta de
energia devido a um acidente na rede de transmissão, pode ser chamado de:
A. Falha de continuidade.
B. Problema.
C. Indisponibilidade.
D. Desastre.
QUESTION 18
Qual é o nome do processo CONTÍNUO no qual riscos são identificados, examinados e reduzidos a
um nível aceitável?
A. Análise de riscos.
B. Gerenciamento de riscos.
C. Gerenciamento de incidentes.
D. Gerenciamento da continuidade.
QUESTION 19
A análise de riscos é uma ferramenta usada no gerenciamento de riscos.
O propósito de realizar a análise de riscos é esclarecer quais ameaças são relevantes para os
processos operacionais da empresa e então identificar riscos associados.
O nível de segurança adequado, juntamente com as medidas de segurança associadas, podem
então ser determinados.
Qual dos seguintes NÃO é um objetivo da análise de riscos?
A. Identificar os ativos de informação e seu valor.
B. Determinar as vulnerabilidades e ameaças.
C. Determinar o risco de que as ameaças se tornarão uma realidade e comprometerão o processo
operacional da empresa.
D. Resolver incidentes de segurança que ocorrem.
QUESTION 20
Existem dois grupos de análises de riscos: quantitativa e qualitativa.
Qual o foco da análise quantitativa de riscos?
A. Calcular, com base no impacto do risco, o nível de perda financeira e a probabilidade que uma ameça
possa se tornar um incidente de segurança.
B. Com base em cenários e situações, avaliar subjetivamente chances de uma ameaça se tornar real.
C. Determinar probabilidade e impacto consultando consultores experientes no setor.
D. Contabilizar a quantidade de riscos que poderiam ocorrer devido à manifestação de uma ameaça.
QUESTION 21
A aplicação de uma visão subjetiva das possiveis ameaças para determinar a probabilidade de
ocorrência de um risco é chamada de:
A. Análise qualitativa de riscos.
B. Análise quantitativa de riscos.
C. Análise subjetiva de riscos.
D. Análise de probabilidade de riscos.
QUESTION 22
A análise de riscos produz uma lista de ameaças e suas importâncias relativas.
O próximo passo é analisar cada ameaça séria para descobir uma ou mais medidas que possam
reduzir a ameaça.
A organização tem como objetivo tornar algumas ameaças impossíveis ou quase impossíveis de
ocorrer.
Em que tipo de medida ela deve focar para alcançar este objetivo?
A. Medidas preventivas
B. Medidas detectivas
C. Medidas repressivas
D. Medidas corretivas
QUESTION 23
Para eventos de riscos que não podem ser completamente prevenidos e para os quais as
consequências não são aceitáveis para a organização, é possível adotar métodos que podem
aliviar e minimizar as consequências.
Esta prática também é conhecida como:
A. Mitigação de riscos
B. Transfência de riscos
C. Prevenção de riscos
D. Nenhuma das anteriores
QUESTION 24
Quando todas as medidas são conhecidas, pode muito bem ser decidido não implementar as
medidas de segurança devido aos custos não serem proporcionais aos benefícios e os riscos não
serem relevantes para a organização.
Neste caso, a organização pode:
A. Aceitar (ou suportar) o risco e implementar soluções de contorno quando os riscos se materializarem.
B. Contratar um seguro.
C. Evitar o risco.
D. Eliminar o risco.
QUESTION 25
Um funcionário que não recebeu a promoção desejada resolveu vender dados confidenciais para
uma empresa concorrente.
Este é um tipo de ameaça:
A. Humana intencional.
B. Humana não intencional.
C. Não humana.
D. Funcional.
QUESTION 26
Influências externas como raios, enchentes e tempestades são exemplos de:
A. Ameaças humanas intencionais.
B. Ameaças humanas não intencionais.
C. Ameaças não humanas.
D. Ameaças naturais.
QUESTION 27
Qual é a norma conhecida como “código para segurança da informação”, que contém orientações
para medidas em diversas áreas da segurança da informação?
A. ISO/IEC 27002
B. ISO/IEC 20000
C. BS 25999
D. ISO/IEC 27001
QUESTION 28
Quem é o proprietário dos ativos de negócios?
A. A pessoa responsável por um processo de negócio, subprocesso ou atividade de negócio e que cuida
de todos os aspectos do ativo de negócio incluindo segurança, gerenciamento, produção e
desenvolvimento.
B. Sempre a gerência sênior.
C. Sempre o pessoal de TI.
D. O departamento de compras.
QUESTION 29
O uso de ativos de negócio é assunto que está sujeito a certas regras.
Estas regras podem ser fornecidas em um manual e podem, por exemplo, incluir instruções sobre
como usar equipamentos móveis quando fora da organização.
A implementação de tais regras faz parte do escopo de:
A. Medidas organizacionais.
B. Medidas técnicas.
C. Medidas físicas.
D. Medidas externas.
QUESTION 30
Se o funcionário da helpdesk não está habilitado a lidar com um incidente devido à falta de
conhecimento técnico, este incidente pode ser repassado para outro funcionário com mais
experiência para resolver a questão.
Isto é chamado de:
A. Escalação funcional
B. Escalação hierárquica
QUESTION 31
Algumas vezes um incidente precisa ser reportado para alguém como mais autoridade funcional
que precisará tomar decisões e alocarmais recursos na resolução.
Isto é chamado de:
A. Escalação funcional
B. Escalação hierárquica
QUESTION 32
Uma empresa não possui barreiras externas para dificultar o acesso de pessoas não autorizadas.
Qual seria uma medida FÍSICA para evitar que informações ou outros ativos sejam roubados de
dentro da empresa?
A. Uso de vidros resistentes e portas reforçadas.
B. Uso de senha nos pontos de acesso via wireless.
C. Uso de criptografia nos e-mails enviados.
D. Incluir no código de conduta que os funcionários não podem receber visitas não autorizadas.
QUESTION 33
O uso de equipamentos biométricos para acesso a salas da empresa é um tipo de medida:
A. Física.
B. Técnica.
C. Organizacional.
D. Biológica.
QUESTION 34
A fim de habilitar o uso de um sistema criptográfico, tanto o remetente como destinatário devem ter
um algoritmo.
Uma característica de um sistema criptográfico é que o algoritmo em si é público.
De um modo geral, existem três formas de algoritmos de criptografia: simétrica, assimétrica e
criptografia de mão única.
Quando tanto o remetente como o destinatário compartilham a mesmo algoritmo e a mesma chave
secreta, temos que tipo de criptografia?
A. Simétrica
B. Assimétrica
C. Criptografia de mão única
QUESTION 35
Qual é o ciclo usado como referência na ISO/IEC 27002 para determinar, implementar, monitorar e
manter um Sistema de Gerenciamento da Segurança da Informação (SGSI)?
A. Ciclo PDCA.
B. Ciclo DMAIC.
C. Ciclo do COBIT.
D. Ciclo de Ishikawa.
QUESTION 36
Sem uma segurança efetiva da informação, não é possível a uma organização sobreviver.
Quem é responsável pela segurança da informação na organização?
A. Apenas o pessoal de TI.
B. Todo o pessoal da organização.
C. Apenas auditores de segurança.
D. O gerente de segurança da informação.
QUESTION 37
Alguém está tentando ganhar a confiança de um funcionário fingindo ser um colega ou um
fornecedor, mas está realmente tentando adquirir informações confidenciais da empresa.
Este tipo de prática é conhecida como:
A. Pirataria.
B. Engenharia social.
C. Malware.
D. Má conduta.
QUESTION 38
Um e-mail que tenta convencer o leitor de sua veracidade e o convence a realizar uma ação em
particular é uma ação conhecida como:
A. Hoax.
B. Malware.
C. Trojan.
D. Spam.
QUESTION 39
Um dos aspectos que a gerência deve incluir na política de segurança da informação é a maneira
pela qual os recursos de TI podem ser usados dentro da organização.
A utilização desses recursos para fins particulares ou qualquer finalidade não autorizada sem a
permissão da gerência deve ser considerada como uso indevido das instalações.
Como a gerência pode evitar isso de maneira adequada?
A. Por meio de um código de conduta que esclareça os direitos e deveres do empregador e dos
empregados.
B. Instalando um filtro na firewall.
C. Retirando o acesso à internet.
D. Estabelecendo um regimento interno.
QUESTION 40
Qual a finalidade PRIMÁRIA de se usar ar-condicionado na sala de servidores?
A. É uma forma de proteger fisicamente os equipamentos, para que o superaquecimento não os
danifique.
B. É uma forma de melhorar o ambiente para o pessoal de TI trabalhar melhor.
C. É uma exigência legal.
D. É uma forma de garantir que os dados não fiquem danificados.
Exam F
QUESTION 1
Você é o administrador de redes do departamento de TI de uma empresa têxtil. Você observa que
há vários funcionários utilizando a internet para navegar em blogs, revistas e sites de pornografia.
Qual a MELHOR abordagem para regular o uso da internet na empresa?
A. Instalar uma firewall para bloquear acesso a todos os sites externos, assim evitando que todos
naveguem pela internet.
B. Elaborar um código de conduta para uso da internet, no qual os funcionários saberão de que forma
podem utilizar a internet e a quais tipos de conteúdos está permitido o acesso.
C. Demitir os funcionários que forem flagrados usando a internet para uso particular.
D. Instalar um software espião que detecta quais funcionários estão usando a internet de forma irregular e
pedir para que o departamento de RH aplique medidas disciplinares a estes funcionários.
QUESTION 2
Ao identificar os ativos de informação na organização, alguém precisa ser definido para ter a
responsabilidade de gerenciamento, controle, produção, desenvolvimento, manutenção e uso de
ativos de informação.
Essa pessoa também é responsável pela classificação e proteção de documentos de informação.
Qual é o nome atribuído a esse papel?
A. Autor do documento.
B. Gerente funcional.
C. Gerente de TI.
D. Proprietário ou dono do ativo de informação.
QUESTION 3
Todas as opções abaixo são medidas técnicas de segurança de TI, EXCETO:
A. Criptografia de dados.
B. Validação de dados de entrada e saída nos sistemas.
C. Limitação de acesso a determinados locais na rede via wireless.
D. Elaboração de uma política de segurança para a organização.
QUESTION 4
Qual das seguintes NÃO é uma medida de segurança organizacional?
A. Estabelecer uma política de segurança da informação que esteja de acordo com requisitos do negócio,
legislação e regulamentos a que a empresa precisa atender.
B. Estabelecer um Sistema de Gerenciamento da Segurança da Informação (SGSI) que compreenda os
domínios identificados no padrão ISO/IEC 27002.
C. Segregar funções estabelecendo responsabilidades para cada um na organização.
D. Implementar proteções contra incêndio, como extintores em cada sala de trabalho.
QUESTION 5
Segurança física é parte da segurança da informação porque todos os ativos do negócio precisam
estar fisicamente protegidos.
Qual das opções abaixo pode ser considerada uma medida de segurança física para evitar que
pessoas não autorizadas roubem informações de dentro da empresa?
A. Instalação de equipamentos de controle de temperatura, como ar-condicionado, umidificadores, etc.
B. Colocar os cabos de telefone afastados da rede elétrica para não haver interferência.
C. Fazer com que os funcionários retornem todos os seus equipamentos quando se desligarem da
empresa, a fim de proteger informações confidenciais.
D. Uso de biometria para acessos a salas de servidores ou arquivos da empresa.
QUESTION 6
Como parte de um Sistema de Gerenciamento da Segurança da Informação (SGSI), uma política de
segurança precisa ser elaborada. Para que serve este documento?
A. Para comunicar à organização a importância de se atender aos objetivos de segurança da informação
e fornecer uma direção clara de como a segurança da empresa deve ser atendida.
B. Para realizar a segregação de funções estabelecendo quem é responsável pelo quê.
C. Para demonstrar como os softwares utilizados pelo negócio implementam medidas de técnicas de
segurança.
D. Para estabelecer um código de conduta para uso de serviços de TI.
QUESTION 7
Na sua empresa está claro que os funcionários lidam com várias mídias de armazenamento, como
smartphones, pen drives e CDs/DVDs.
Qual medida ORGANIZACIONAL adequada deve ser implementada para reduzir os riscos de
informações confidenciais pararem nas mãos de pessoas erradas?
A. Proibir o uso destas mídias.
B. Pedir que os funcionários não utilizem estas mídias fora da organização.
C. Elaborar uma política para uso destas mídias conscientizando os funcionários sobre o manuseio delas,
assim como a importância de garantir a confidencialidade das informações da organização.
D. Comprar um software que criptografa todas as informações transferidas para estas mídias.
QUESTION 8
Os funcionários da organização têm um papel importante na detecção de fraquezas na segurança e
na notificação de incidentes de segurança.
Se você percebe, por exemplo, que tem acesso às pastas de documentos que somente a diretoria
deveria acessar, o que você deveria fazer?
A. Nada.
B. Copiar todos os arquivos para o seu PC antes que o acesso seja bloqueado.
C. Notificar o incidente para a helpdesk de TI, assim o acesso será limitado somente a quem tem direito
de acesso.
D. Reportar o caso para outros funcionários da empresa.
QUESTION 9
Os