GESTÃO DE SEGURANÇA DA INFORMAÇÃO Exercicios

Prévia do material em texto

2
	3
	4
	5
	6
	7
	
	          Questão 
	
	As informações devem cumprir alguns requisitos, dentre os quais:
I. Autenticação: refere-se a proteger a informação de ser lida ou copiada por qualquer um que não está explicitamente autorizado pelo proprietário da informação
II. Confidencialidade: irá definir que as partes envolvidas na comunicação sejam autenticadas, a fim de garantir que cada uma delas seja realmente quem diz ser
III. Consistência: assegura que o sistema comporta-se como esperado pelos usuários autorizados. Se o software ou hardware repentinamente começa a se comportar de maneira radicalmente diferente daquele que se costuma comportar, especialmente após uma atualização ou a reparação de um erro, pode ocorrer um "desastre"
IV. Disponibilidade: irá definir que as informações devidas estarão disponíveis para seus respectivos usuários. Aqui cabe uma ressalva: para garantir esta disponibilidade da informação somente para o usuário devido, deve-se implementar controles de acesso, a fim de conter usuários não autorizados
Após a leitura das asserções, assinale a alternativa correta.
	
	
	 
	Somente as asserções I e II estão corretas
	 
	Somente as asserções I, II e III estão corretas
	 
	Somente as asserções I, II e IV estão corretas
	 
	Somente as asserções II, III e IV estão corretas
	 Certo 
	Somente as asserções III e IV estão corretas
	
Explicação: 
Autenticação: irá definir que as partes envolvidas na comunicação sejam autenticadas, a fim de garantir que cada uma delas seja realmente quem diz ser
Confidencialidade:refere-se a proteger a informação de ser lida ou copiada por qualquer um que não está explicitamente autorizado pelo proprietário da informação
Consistência: assegura que o sistema comporta-se como esperado pelos usuários autorizados. Se o software ou hardware repentinamente começa a se comportar de maneira radicalmente diferente daquele que se costuma comportar, especialmente após uma atualização ou a reparação de um erro, pode ocorrer um "desastre"
Disponibilidade: irá definir que as informações devidas estarão disponíveis para seus respectivos usuários. Aqui cabe uma ressalva: para garantir esta disponibilidade da informação somente para o usuário devido, deve-se implementar controles de acesso, a fim de conter usuários não autorizados
	          Questão 
	
	O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? 
	
	
	 
	Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos;
	 Certo 
	Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos;
	 
	Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia;
	 
	Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais;
	 
	Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros;
	          Questão 
	
	Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
I-A informação de uma empresa na maioria das vezes pode ser pública, para que prejudique o funcionamento, integridade, estratégias e tomadas de decisões da empresa.
II-A informação torna-se um dos ativos mais importantes e valiosos dentro de uma organização, pois são cruciais para a eficácia das estratégias de uma empresa.
III-A informação é primordial para realizar com eficácia todos os processos de uma empresa, sendo assim um elemento que pode conduzir a empresa ao sucesso ou ao fracasso caso essas informações não estejam corretas
	
	
	 
	Somente III
	 
	Somente I e III
	 
	Somente I
	 
	I, II e III
	 Certo 
	Somente II e III
	
Explicação: 
O certo seria:
A informação de uma empresa na maioria das vezes não pode ser pública, para que não prejudique o funcionamento, integridade, estratégias e tomadas de decisões da empresa.
	          Questão 
	
	No contexto da Segurança da Informação, a medida que indica a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos que ela trará está relacionada com qual conceito de?
	
	
	 
	Ameaça.
	 Certo 
	Risco.
	 
	Vulnerabilidade.
	 
	Impacto.
	 
	Valor.
	          Questão 
	
	Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no estudo e implementação de um processo de gestão de segurança em uma organização? 
	
	
	 
	Risco.
	 
	Ameaça.
	 
	Impacto .
	 
	Vulnerabilidade.
	 Certo 
	insegurança
	          Questão 
	
	Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta situação? 
	
	
	 
	Passivo 
	 
	Ativo
	 
	Tangível 
	 Certo 
	Intangível 
	 
	Abstrato
	          Questão 
	
	
	 
	Tudo aquilo que a empresa usa como inventario contábil.
	 
	Tudo aquilo que não manipula dados.
	 Certo 
	Tudo aquilo que tem valor para a organização.
	 
	Tudo aquilo que não possui valor específico.
	 
	Tudo aquilo que é utilizado no Balanço Patrimonial.
	          Questão 
	
	Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de?
	
	
	 
	Ameaça.
	 
	Valor.
	 
	Risco.
	 Certo 
	Vulnerabilidade.
	 
	Impacto.
	
	1.
		 Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para as organizações quando tratamos de Segurança da Informação? 
	
	
	Valor de propriedade.
	
	
	Valor de restrição.
	Certo 
	
	Valor de orçamento.
	
	
	Valor de uso.
	
	
	Valor de troca.
	
	
	2.
	
		 Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: 
	
	
	Não-repúdio;
	Certo 
	
	Disponibilidade;
	
	
	Confidencialidade;
	
	
	Integridade;
	
	
	Privacidade;
	
	
	3.
	
		 As ameaças são os principais perigos a que uma empresa está́ susceptível. Essas ameaças podem ser classificadas em: 	 Ameaças intencionais 
	 Ameaças relacionadas aos equipamentos 
	 Ameaças relativas a um evento natural 
	 Ameaças não intencionais 
 Em relação as ameças relacionadas aos equipamentos, podemos afirmar: 
	
	
	
	esse grupo de ameaças incluem todos os equipamentos ou instalações físicas de uma empresa, que podem estar sujeitos a fogo, inundações, quedas de energia. É possível minimizar as chances de que o dano seja severo e também fazer um planejamento para a recuperação após a ocorrência de um desastre de ordem natural.
	Certo 
	
	Quando um equipamento apresenta falhas de hardware ou mesmo de software, seja por defeito ou mesmo por bugs. Colaboradores especializados podem induzir falhas aos sistemas por eles administrados.
	
	
	São as ameaças divulgadas pela mídia e nas quais os produtos de segurança podem atuar melhor. Podem ser do tipo agentes internos ou externos. Em que agentes externos podem ter acesso ao sistema de várias formas. Apesar do foco dos dispositivos de segurança normalmente ser o agente do tipo externo, a maior parte dos problemas de segurança é provocada por agentes do tipo internos.
	
	
	Nenhuma das opções abaixo
	
	
	São os perigos trazidos pela falta deconhecimento. Por exemplo, um usuário ou administrador de sistema que não tenha recebido treinamento adequado, que não tenha lido a documentação, ou que não tenha entendido a importância do cumprimento das regras de segurança estabelecidas pela organização. A maior parte dos danos causados no sistema surge pela ignorância de usuários ou administradores e não por ações maliciosas.
	
Explicação: 
Letra B é a correta
	
	
	4.
	
		 Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste caso houve uma falha na segurança da informação relacionada à: 
	
	
	
	Autenticidade;
	
	
	Confidencialidade;
	
	
	Não-Repúdio;
	Certo 
	
	Integridade;
	
	
	Auditoria;
	
	
	5.
	
		 As ameaças são os principais perigos a que uma empresa está́ susceptível. Essas ameaças podem ser classificadas em: 	 Ameaças intencionais 
	 Ameaças relacionadas aos equipamentos 
	 Ameaças relativas a um evento natural 
	 Ameaças não intencionais 
 Em relação a ameaça internacionais, podemos afirmar: 
	
	
	
	Quando um equipamento apresenta falhas de hardware ou mesmo de software, seja por defeito ou mesmo por bugs. Colaboradores especializados podem induzir falhas aos sistemas por eles administrados.
	Certo 
	
	São as ameaças divulgadas pela mídia e nas quais os produtos de segurança podem atuar melhor. Podem ser do tipo agentes internos ou externos. Em que agentes externos podem ter acesso ao sistema de várias formas. Apesar do foco dos dispositivos de segurança normalmente ser o agente do tipo externo, a maior parte dos problemas de segurança é provocada por agentes do tipo internos.
	
	
	Nenhuma das opções acima
	
	
	Esse grupo de ameaças incluem todos os equipamentos ou instalações físicas de uma empresa, que podem estar sujeitos a fogo, inundações, quedas de energia. É possível minimizar as chances de que o dano seja severo e também fazer um planejamento para a recuperação após a ocorrência de um desastre de ordem natural.
	
	
	São os perigos trazidos pela falta de conhecimento. Por exemplo, um usuário ou administrador de sistema que não tenha recebido treinamento adequado, que não tenha lido a documentação, ou que não tenha entendido a importância do cumprimento das regras de segurança estabelecidas pela organização. A maior parte dos danos causados no sistema surge pela ignorância de usuários ou administradores e não por ações maliciosas.
	
Explicação: 
Opção C correta
	
	
	6.
	
		 As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação? 
	
	
	
	Fragilidade presente ou associada a ameaças que manipulam ou processam informações .
	
	
	Ameaça presente ou associada a ativos que manipulam ou processam informações.
	
	
	Impacto presente ou associada a ativos que manipulam ou processam informações.
	
	
	Fragilidade presente ou associada a ativos que exploram ou processam informações .
	Certo 
	
	Fragilidade presente ou associada a ativos que manipulam ou processam informações .
	
	
	7.
	
		 O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Neste contexto qual das opções abaixo poderá definir melhor o conceito de ¿Dado¿? 
	
	
	
	Elemento identificado em sua forma trabalhada e que por si só conduz a várias compreensões de fatos e situações.
	Certo 
	
	Elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação.
	
	
	Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões de fatos ou situações.
	
	
	Elemento identificado em sua forma trabalhada que por si só não conduz a uma compreensão de determinado fato ou situação
	
	
	Elemento não identificado e que por si só não conduz a uma compreensão de determinado fato ou situação.
	
	
		 O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que por sua vez, mantêm a operação da empresa. Estes momentos são denominados: 
	
	
	
	Criação, compartilhamento, utilização e descarte
	
	
	Criação, utilização, armazenamento e compartilhamento
	
	
	Manuseio, transporte, compartilhamento e remoção
	
	
	Iniciação, processamento, utilização e remoção
	Certo 
	
	Manuseio, armazenamento, transporte e descarte
	
	1.
		 Em um processo de análise de riscos em TI, uma avaliação da vulnerabilidade depende das avaliações e.... 
	
	
	
	do ativo e dos controles. 
	
	
	do risco e dos controles. 
	Certo 
	
	do ativo e das ameaças. 
	
	
	dos controles e do risco residual. 
	
	
	das ameaças e das contramedidas.
	
	
	2.
	
		 Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? 
	
	
	Vulnerabilidade Física
	Certo 
	
	Vulnerabilidade de Software
	
	
	Vulnerabilidade Natural
	
	
	Vulnerabilidade Mídia
	
	
	Vulnerabilidade de Comunicação
	
	
	3.
	
		 Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque? 
	Certo 
	
	Vulnerabilidade Software
	
	
	Vulnerabilidade Natural
	
	
	Vulnerabilidade Física
	
	
	Vulnerabilidade Comunicação
	
	
	Vulnerabilidade Mídias
	
	
	4.
	
		 As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? 
	
	
	
	Vulnerabilidade Física
	Certo 
	
	Vulnerabilidade de Software
	
	
	Vulnerabilidade Comunicação
	
	
	Vulnerabilidade Natural
	
	
	Vulnerabilidade Mídia
	
	
	5.
	
		 Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas por ameaças, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir.
I. Computadoressão vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. 
II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. 
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. 
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. 
Representam vulnerabilidades dos ativos de informação o que consta em: 
	
	
	I, II, III e IV. 
	
	
	I, II e IV, somente. 
	
	
	I e III, somente. 
	
	
	II e III, somente.
	Certo 
	
	I, III e IV, somente.
	
	
	6.
	
		 João trabalha no Datacenter de uma empresa de Tecnologia. Logo assim que chegou no ambiente de trabalho, ocorreu um curto circuito e iniciou um incêndio. João correu para buscar um extintor contra incêndio e percebeu que ele estava vazio. Neste caso estamos falando de vulnerabilidade do tipo: 
	
	
	Humana 
	
	
	Natural 
	
	
	Mídia
	
	
	Comunicação 
	Certo 
	
	Física 
	
	
	7.
	
		 Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas: I-A técnica de criptografia pode ser classificada em duas: Criptografia simétrica e Criptografia assimétrica. II-Na criptografia assimétrica ambas as partes de comunicação possuem a mesma chave. Como vantagem esse tipo de técnica apresenta um algoritmo muito rápido, porém como desvantagem é que o canal deve ser mais seguro para que o envio da chave secreta não seja interceptado. III-A criptografia simétrica possui como princípio a utilização de duas chaves. Sendo que uma chave é mantida em segredo e a outra chave pode ser enviada publicamente. Nesse tipo de criptografia, uma das chaves é utilizada no processo de encriptação da informação e a outra chave é utilizada no processo de decriptação da informação 
	Certo 
	
	Somente I
	
	
	Somente II e III
	
	
	Somente I e III
	
	
	I, II e III
	
	
	Somente III
	
Explicação: 
A II e III estão trocadas.
	
	
	8.
	
		 A empresa de segurança cibernética IntelCrawler descobriu no dia 17 de janeiro de 2014 ao menos seis ataques em andamento contra varejistas nos Estados Unidos cujos sistemas de cartão de crédito estão infectados com o mesmo tipo de software malicioso usado para roubar dados de cerca de 40 milhões de cartões de crédito da rede Target. O software malicioso que foi usado para tal feito foi o BlackPOS. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? 
	
	
	Vulnerabilidade Natural.
	
	
	Vulnerabilidade de Comunicação.
	
	
	Vulnerabilidade Física.
	Certo 
	
	Vulnerabilidade Software.
	
	
	Vulnerabilidade de Mídias.
	
	1.
		 Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? 
	
	
	Secreto
	Certo 
	
	Ativo
	
	
	Fraco
	
	
	Passivo
	
	
	Forte
	
	
	2.
	
		 Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? 
	
	Certo 
	
	Interna e Externa 
	
	
	Interna e Oculta 
	
	
	Conhecida e Externa
	
	
	Secreta e Oculta 
	
	
	Secreta e Externa 
	
	
	3.
	
		 Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II .
Coluna I 
1. Spyware 
2. Adware 
3. Engenharia Social 
4. Backdoor 
5. Phishing
Coluna II 
( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. 
( ) Software que insere propagandas em outros programas. 
( ) Brecha inserida pelo próprio programador de um sistema para uma invasão.
( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. 
( ) Programa espião. 
A sequencia correta é: 
	
	
	5,1,4,3,2. 
	Certo 
	
	5, 2, 4, 3, 1. 
	
	
	3, 1, 4, 5, 2. 
	
	
	3, 1, 5, 2, 4. 
	
	
	3, 2, 4, 5, 1. 
	
	
	4.
	
		 Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: 
	Certo 
	
	Medidas Preventivas
	
	
	Métodos Quantitativos
	
	
	Métodos Detectivos
	
	
	Medidas Perceptivas
	
	
	Medidas Corretivas e Reativas
	
	
	5.
	
		 Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo teclado do usuário e é enviado para o invasor ? 
	
	
	Backdoor
	
	
	Spyware
	Certo 
	
	Keylogger
	
	
	Phishing
	
	
	Defacement
	
	
	6.
	
		 Pedro construiu um software malicioso capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Neste caso podemos afirmar que Pedro construiu um: 
	Certo 
	
	Keylogger 
	
	
	Backdoor
	
	
	Screenlogger 
	
	
	Worm 
	
	
	Trojan 
	
	
	7.
	
		 As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade? 
	
	Certo 
	
	Naturais, Involuntárias e Voluntarias.
	
	
	Naturais, Involuntárias e Obrigatórias.
	
	
	Naturais, Voluntarias e Vulneráveis.
	
	
	Ocasionais, Involuntárias e Obrigatórias.
	
	
	Naturais, Voluntarias e Obrigatórias.
	
	
	8.
	
		 Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias: 
	
	
	Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc.
	
	
	Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações.
	
	
	Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc.
	
	
	Erros propositais de instalação ou de configuração possibilitando acessos indevidos.
	Certo 
	
	Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões.
	
	
	1.
		 Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das opções abaixo Não representa um destes passos? 
	
	
	
	Camuflagem das Evidências
	
	
	Levantamento das Informações
	
	
	Exploração das Informações
	Certo 
	
	Divulgação do Ataque
	
	
	Obtenção de Acesso
	
	
	2.
	
		 Suponha que um hacker esteja planejando um ataque a uma empresa. Inicialmente irá utilizar diversos artifícios e mecanismos para se aproximar da empresa ou rede a ser atacada. Como se chama este primeiro passo do atacante? 
	Certo 
	
	Levantamento das Informações de forma passiva.
	
	
	Engenharia Social
	
	
	Levantamento das Informações de forma ativa
	
	
	Acessando a empresa
	
	
	Explorando informações.
	
	
	3.
	
		 Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão? 
	
	
	SQL Injection
	
	
	Phishing Scan
	
	
	Source Routing
	
	
	Shrink wrap code
	Certo 
	
	DDos 
	
	
	4.
	
		 João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) parao servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? 
	
	
	Port Scanning
	
	
	Ip Spoofing 
	
	
	Fragmentação de pacotes IP 
	
	
	Fraggle 
	Certo 
	
	SYN Flooding 
	
	
	5.
	
		 Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque? 
	
	
	
	Exploração das Informações
	
	
	Levantamento das Informações
	
	
	Obtenção de Acesso
	
	
	Divulgação do Ataque
	Certo 
	
	Camuflagem das Evidências
	
	
	6.
	
		 Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. O ataque que tem como objetivo a verificação do lixo em busca de informações que possam facilitar o ataque é denominado: 
	Certo 
	
	Dumpster diving ou trashing
	
	
	IP Spoofing
	
	
	Ataque smurf
	
	
	SQL Injection
	
	
	Packet Sniffing
	
	
	7.
	
		 Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? 
	
	
	Secreto 
	
	
	Fraco
	Certo 
	
	Passivo
	
	
	Forte
	
	
	Ativo
	
	
	8.
	
		 Qual o nome do ataque que tem como objetivo desfigurar a página de um site ? 
	
	
	Worm
	
	
	Disfiguration
	Certo 
	
	Defacement
	
	
	Spam
	
	
	Backdoor
	
	
	1.
		 É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Qual das opções abaixo Não representa um destes propósitos? 
	Certo 
	
	Preparação de um plano para aceitar todos os Riscos
	
	
	Conformidade Legal e a evidência da realização dos procedimentos corretos
	
	
	Preparação de um plano de continuidade de negócios.
	
	
	Descrição dos requisitos de segurança da informação para um produto.
	
	
	Preparação de um plano de respostas a incidentes.
	
	
	2.
	
		 O ciclo de vida do negócio, tendo em vista os aspectos de tecnologia, depende de um bom entendimento do processo de Gerenciamento de Riscos do Negócio. O estágio de ¿análise de requisitos e definição de estratégias¿ é responsável por definir como a organização reagirá a uma interrupção do negócio ou desastre e os custos associados. Esse estágio tem processos de avaliação de risco e análise de impacto no negócio, comuns do ciclo contínuo de gerenciamento de riscos. Portanto, o gerenciamento de riscos é um processo que tem como objetivo dar subsídios à organização para realizar sua missão institucional, de forma a: I. Possibilitar a segurança efetiva dos sistemas de Tecnologias de Informação e Comunicação, responsáveis pelo processamento, armazenagem e transmissão de dados; II. Criar uma base sólida para as tomadas de decisão, principalmente no que se relaciona com execução coerente do orçamento e no investimento em tecnologias necessárias para minimizar riscos de impacto ou potencial impacto para o negócio; III. Impossibilitar os gestores de equilibrarem seus custos de proteção e desempenho dos sistemas de informação vitais para o negócio. Após a leitura, assinale a alternativa correta. 
	
	
	Somente as afirmações I e III estão corretas
	
	
	Somente a III está correta
	
	
	Somente a I está correta
	
	
	Somente a II está correta
	Certo 
	
	Somente as afirmações I e II estão corretas
	
Explicação: 
O ciclo de vida do negócio, tendo em vista os aspectos de tecnologia, depende de um bom entendimento do processo de Gerenciamento de Riscos do Negócio. O estágio de ¿análise de requisitos e definição de estratégias¿ é responsável por definir como a organização reagirá a uma interrupção do negócio ou desastre e os custos associados. Esse estágio tem processos de avaliação de risco e análise de impacto no negócio, comuns do ciclo contínuo de gerenciamento de riscos. Portanto, o gerenciamento de riscos é um processo que tem como objetivo dar subsídios à organização para realizar sua missão institucional, de forma a:
- Possibilitar a segurança efetiva dos sistemas de Tecnologias de Informação e Comunicação, responsáveis pelo processamento, armazenagem e transmissão de dados;
- Criar uma base sólida para as tomadas de decisão, principalmente no que se relaciona com execução coerente do orçamento e no investimento em tecnologias necessárias para minimizar riscos de impacto ou potencial impacto para o negócio;
- Permitir aos gestores equilibrarem seus custos de proteção e desempenho dos sistemas de informação vitais para o negócio.
	
	
	3.
	
		 Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta especificamente um dos três elementos da tríade da segurança da informação. Qual é o ataque ? 
	
	
	0day
	
	
	Backdoor
	
	
	Spyware
	Certo 
	
	DoS/DDoS
	
	
	Adware
	
	
	4.
	
		 Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da Informação: 
	
	
	Probabilidade de um ativo explorar uma vulnerabilidade.
	
	
	Probabilidade de um incidente ocorrer mais vezes.
	Certo 
	
	Probabilidade de uma ameaça explorar uma vulnerabilidade
	
	
	Probabilidade de um ativo explorar uma ameaça.
	
	
	Probabilidade de uma ameaça explorar um incidente.
	
	
	5.
	
		 Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: 
	
	
	Entender os riscos associados ao negócio e a gestão da informação
	
	
	Manter a reputação e imagem da organização
	Certo 
	
	Eliminar os riscos completamente e não precisar mais tratá-los
	
	
	Melhorar a eficácia no controle de riscos
	
	
	Melhorar a efetividade das decisões para controlar os riscos
	
	
	6.
	
		 Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de incidentes sequencialmente ? 
	
	
	Incidente, impacto, ameaça e recuperação
	Certo 
	
	Ameaça, incidente, impacto e recuperação
	
	
	Incidente, recuperação, impacto e ameaça
	
	
	Ameaça, impacto, incidente e recuperação
	
	
	Impacto, ameaça, incidente e recuperação
	
	
	7.
	
		 Em relação aos riscos que as empresas estão susceptíveis, analise as afirmações abaixo: I-A ameaça pode ser conceituada como algo que tenha potencial a ser violado em uma determinada circunstância, ação ou evento.  II-A multiplicação de uma probabilidade de uma ameaça e a de uma vulnerabilidade produz o risco daquele evento específico III-Podemos definir vulnerabilidade como sendo os pontos fracos que podem ser explorados pelas ameaças existentes   Assinale apenas a opção com afirmações corretas: 
	
	
	Apenas I e III
	
	
	Apenas II
	Certo 
	
	I, II e III
	
	
	Apenas III
	
	
	Apenas I
	
Explicação: 
Todas estão corretas
	
	
	8.
	
		 Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra um determinado risco está muito além das possibilidades da organização e portanto não vale a pena tratá-lo. Neste caso você: 
	
	
	Trata o risco a qualquer custo
	
	
	Comunica o risco
	Certo 
	
	Aceita o risco
	
	
	Ignora o risco
	
	
	Rejeita o risco
	
	1.
		 Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: 
	
	
	
	Análise/orientação sistemática dos cenários de segurança da informação
	
	
	Análise/revisão sistemática dos ativos de segurança da informação
	
	
	Identificação/avaliação sistemática dos eventos de segurança da informação
	Certo 
	
	Análise/avaliação sistemática dos riscos de segurança da informação
	
	
	Análise/avaliação sistemática dos incidentes de segurança da informação
	
	
	2.
	
		 A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios geraispara iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: 
	Certo 
	
	É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
	
	
	São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender.
	
	
	A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos.
	
	
	Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação.
	
	
	Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização.
	
	
	3.
	
		 De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve: 
	
	
	
	apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos. 
	Certo 
	
	ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização.
	
	
	conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção. 
	
	
	conter o registro dos incidentes de segurança da organização. 
	
	
	revelar informações sensíveis da organização. 
	
	
	4.
	
		 Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. 
	Certo 
	
	A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 
	
	
	Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
	
	
	Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
	
	
	Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. 
	
	
	Os riscos residuais são conhecidos antes da comunicação do risco. 
	
	
	5.
	
		 A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança? 
	
	
	Controle de Acesso
	
	
	Gestão de Incidentes de Segurança da Informação
	
	
	Gerenciamento das Operações e Comunicações
	
	
	Segurança Física e do Ambiente.
	Certo 
	
	Gestão da Continuidade do Negócio
	
	
	6.
	
		 A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança? 
	
	
	
	Gerenciamento das Operações e Comunicações
	
	
	Segurança em Recursos Humanos
	
	
	Segurança Física e do Ambiente
	Certo 
	
	Controle de Acesso
	
	
	Desenvolvimento e Manutenção de Sistemas
	
	
	7.
	
		 Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção? 
	
	
	
	Normas.
	Certo 
	
	Diretrizes.
	
	
	Relatório Estratégico.
	
	
	Manuais.
	
	
	Procedimentos.
	
	
	8.
	
		 Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? 
	
	
	
	ISO/IEC 27001
	
	
	ISO/IEC 27004
	
	
	ISO/IEC 27002
	
	
	ISO/IEC 27003
	Certo 
	
	ISO/IEC 27005
	
	
	1.
		 Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: 
	
	
	III e IV.
	
	
	II.
	Certo 
	
	II e III.
	
	
	I e III.
	
	
	I e II.
	
	
	2.
	
		 Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: 
	
	
	A política do BIA.
	
	
	Identificar e avaliar as opções para o tratamento das vulnerabilidades.
	
	
	A abordagem de análise/avaliação das vulnerabilidades da organização.
	Certo 
	
	Identificar, Analisar e avaliar os riscos.
	
	
	A politica de gestão de continuidade de negócio.
	
	
	3.
	
		 A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo: I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos causados, e assim implantar controles para minimizá-los II-A norma não possibilita que as organizações no mundo todo possam se certificar de suas práticas de gestão de segurança da informação. III-A norma fornece suporte para que as organizações possam utilizar as melhores técnicas de monitoramento e controles, que envolvam recursos tecnológicos e humanos.   Assinale a opção que contenha apenas afirmações corretas: 
	Certo 
	
	Apenas I e III
	
	
	I, II e III
	
	
	Apenas I 
	
	
	Apenas II e III
	
	
	Apenas III
	
	
	4.
	
		 Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: 
	
	
	Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco.
	
	
	Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI
	
	
	Controle de registros, responsabilidade da direção, melhoriado SGSI e auditorias internas
	Certo 
	
	Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI
	
	
	Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação.
	
	
	5.
	
		 A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas. Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa: 
	
	
	Nesta etapa são colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores. 
	Certo 
	
	Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação. 
	
	
	Esta etapa implementa através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI.
	
	
	Nenhuma das opções anteriores.
	
	
	É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos.
	
Explicação: 
A primeira etapa do PDCA é o Plan (planejamento), que estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
	
	
	6.
	
		 Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as empresas. Qual do beneficios abaixo são promovidos? I-Demonstração e garantia de que os requisitos de governança corporativa e de continuidade do negócio estejam sendo atendidos. II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos; III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, será possível que os documentos dos processos de segurança da informação sejam formalizados.   Assinale a opção que contenha apenas afirmações corretas: 
	Certo 
	
	I, II e III
	
	
	Apenas I e III
	
	
	Apenas I
	
	
	Apenas II e III
	
	
	Apenas III
	
	
	7.
	
		 O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: 
	
	
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	
	
	Selecionar objetivos de controle e controles para o tratamento de riscos.
	Certo 
	
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação.
	
	
	A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.
	
	
	8.
	
		 A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas. Em relaçao a etapa "Check", qual das alternativas abaixo descreve essa etapa: 
	
	
	Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
	
	
	Nesta etapa implementa-se através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI.
	
	
	São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores.
	Certo 
	
	É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos.
	
	
	Nenhuma das opções anteriores.
	
	1.
		 De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de continuidade do negócio (GCN). 
	
	
	A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a incidentes, de continuidade e de comunicação. 
	
	
	GCN é a fase inicial da implantação da gestão de continuidade em uma organização. 
	Certo 
	
	A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou) atividades críticas e recursos de suporte de uma organização. 
	
	
	A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de interrupção das atividades críticas da organização. 
	
	
	GCN é uma abordagem alternativa à gestão de riscos de segurança da informação. 
	
	
	2.
	
		 A norma NBR ISO/IEC 22313 também adota o ciclo PDCA a fim de utilizar essa ferramenta para planejar, implementar, analisar e melhor a eficiência do sistema de gestão de continuidade do negócio. Sobre a etapa "DO", qual das alternativas descreve essa etapa: 
	
	
	Nenhuma das opções anteriores
	
	
	São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores
	
	
	É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos.
	
	
	 Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação.
	Certo 
	
	Ocorre a implementação e operação da política de continuidade de negócios, controles, processos e procedimentos.
	
Explicação: 
A segunda etapa do PDCA é o DO (fazer), que implementa-se o que foi estabelecido na etapa anterior, através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI.
	
	
	3.
	
		 Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) esteja no nível mais alto da organização? 
	
	
	Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções inesperadas. 
	
	
	Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas. 
	
	
	Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas. 
	
	
	Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções inesperadas. 
	Certo 
	
	Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas. 
	
	
	4.
	
		 Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre? 
	
	Certo 
	
	Um evento que causa uma parada nos processos da organização por um período de tempo maior do que ela considera aceitável. 
	
	
	Um evento súbito, que ocorre de maneira inesperada. 
	
	
	Um ataque massivo pela internet.
	
	
	Eventos de ordem natural ou acidental, como terremotos e incêndios. 
	
	
	Uma catástrofe de grandes impactos. 
	
	
	5.
	
		 Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperaçãode Desastres (PRD)? 
	
	
	O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-se na continuidade para todos os processos. 
	
	
	O PRD é mais abrangente que o PCN. 
	
	
	O PCN só pode ser implementado se o PRD já tiver em uso.
	
	
	O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação. 
	Certo 
	
	O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados. 
	
	
	6.
	
		 Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação relacionada à: 
	Certo 
	
	Integridade;
	
	
	Confidencialidade;
	
	
	Autenticidade;
	
	
	Auditoria;
	
	
	Não-Repúdio;
	
	
	7.
	
		 Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações. No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento: 
	
	
	
	Entendendo a organização. 
	
	
	Testando, mantendo e analisando criticamente os preparativos de GCN. 
	Certo 
	
	Desenvolvendo e implementando uma resposta de GCN. 
	
	
	Incluindo a GCN na cultura da organização. 
	
	
	Determinando a estratégia de continuidade de negócios. 
	
	
	8.
	
		 O Plano de Continuidade do Negócio...... 
	
	
	deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não. 
	
	
	define uma ação de continuidade imediata e temporária.
	Certo 
	
	prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. 
	
	
	precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais. 
	
	
	não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação. 
	
	
	1.
		 Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? 
	
	
	em uma subrede externa protegida por um proxy 
	
	
	na Zona Demilitarizada (DMZ) protegida 
	Certo 
	
	na rede interna da organização 
	
	
	na Zona Demilitarizada (DMZ) suja 
	
	
	ligado diretamente no roteador de borda 
	
	
	2.
	
		 A política de segurança da informação define qual é a filosofia da organização em relação aos acessos dos usuários a fim de assegurar que todas as informações da organização e de seus clientes estejam protegidas contra possíveis danos.A política de segurança da informação define qual é a filosofia da organização em relação aos acessos dos usuários a fim de assegurar que todas as informações da organização e de seus clientes estejam protegidas contra possíveis danos.De quem é a responsabilidade de proteger as informações? 
	Certo 
	
	De todos os funcionários da organização.
	
	
	Apenas do gestor de informação.
	
	
	Apenas do estagiário.
	
	
	Apenas do presidente da empresa
	
	
	Apenas o gerente
	
Explicação: 
A proteção das informações é de responsabilidade de todos dentro da organização, independentemente de seu nível hierárquico.
	
	
	3.
	
		 Considerando que um usuário deseje enviar um e-mail criptografado, assinale a alternativa que apresenta a chave do destinatário que esse usuário deverá conhecer para realizar corretamente a criptografia. 
	
	
	Chave criptografada pública 
	
	
	Chave privada 
	Certo 
	
	Chave pública 
	
	
	Chave certificada 
	
	
	Chave criptografada privada 
	
	
	4.
	
		 Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade certificadora confiável. Uma mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 
1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 
3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores. 
A mensagem de Ana para Bernardo deve ser assinada 
	
	
	com a chave pública de Ana e criptografada com a chave privada de Bernardo.
	
	
	e criptografada com a chave pública de Ana.
	
	
	com a chave privada de Bernardo e criptografada com a chave pública de Ana.
	
	
	e criptografada com a chave privada de Bernardo.
	Certo 
	
	com a chave privada de Ana e criptografada com a chave pública de Bernardo.
	
	
	5.
	
		 Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? 
	
	
	em uma subrede interna protegida por um proxy 
	
	
	na Zona Desmilitarizada (DMZ) suja 
	
	
	ligado diretamente no roteador de borda 
	
	
	na rede interna da organização 
	Certo 
	
	na Zona Desmilitarizada (DMZ) protegida 
	
	
	6.
	
		 Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar : 
	
	
	Um roteador de borda
	
	
	Um detector de intrusão
	
	
	Um filtro de pacotes
	
	
	Um firewall com estado
	Certo 
	
	Um servidor proxy
	
	
	7.
	
		 Quando você acessa um sistema computacional dentro da empresa, é necessário que você utilize sua identificação e a autenticação deve ocorrer para que você tenha permissão de acesso. Quanto a autenticação do usuário assinale a opção que contenha apenas afirmações verdadeiras: I-A identificação informa ao sistema computacional quem é a pessoa que está acessando a informação. II-Essa identificação pode ocorrer por meio de seu nome, de seu número de matrícula da empresa, de seu CPF ou de qualquer outra sequência de caracteres que represente você̂ como usuário. III-Quanto à autenticação, a informação deve ser sigilosa. No sistema computacional, você é autenticado por alguma informação que você̂ saiba. 
	
	
	
	Apenas II
	
	
	Apenas II e III
	Certo 
	
	I, II e III
	
	
	Apenas III
	
	
	Apenas I e II
	
Explicação: 
Todas são verdadeiras
	
	
	8.
	
		 São exemplos de ativos associados a sistemas (pertinentes para a identificação de ameaças), exceto: 
	
	
	Softwares
	Certo 
	
	Pessoas
	
	
	Informação
	
	
	Hardware
	
	
	Serviços