GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

GESTÃO DE SEGURANÇA DA INFORMAÇÃO
1
	 
		1
          Questão 
	
	
	O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual conceito?
		
	
	Vulnerabilidade.
	
	Ameaça.
	
	Risco.
	
	Impacto.
	
	Valor.
	Respondido em 06/09/2021 14:10:18
	
	
	
	 
		2
          Questão 
	
	
	Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 (três) aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança da Informação". Quais elementos compõem a tríade da segurança da informação?
		
	
	Integridade, Legalidade e Confiabilidade
	
	Confiabilidade, Integridade e Disponibilidade
	
	Autenticidade, Legalidade e Privacidade
	
	Privacidade, Governabilidade e Confidencialidade
	
	Disponibilidade, Privacidade e Segurabilidade
	Respondido em 06/09/2021 14:10:26
	
	
	 
		3
          Questão 
	
	
	Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a tecnologia da informação apoia as operações e processos das empresas, qual das opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo?
		
	
	O uso da internet para sites de relacionamento;
	
	O Aumento no consumo de softwares licenciados;
	
	O crescimento explosivo dos cursos relacionados com a tecnologia da informação;
	
	O crescimento explosivo da venda de computadores e sistemas livres;
	
	O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações;
	Respondido em 06/09/2021 14:10:41
	
	
	 
		4
          Questão 
	
	
	Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
I-A informação de uma empresa na maioria das vezes pode ser pública, para que prejudique o funcionamento, integridade, estratégias e tomadas de decisões da empresa.
II-A informação torna-se um dos ativos mais importantes e valiosos dentro de uma organização, pois são cruciais para a eficácia das estratégias de uma empresa.
III-A informação é primordial para realizar com eficácia todos os processos de uma empresa, sendo assim um elemento que pode conduzir a empresa ao sucesso ou ao fracasso caso essas informações não estejam corretas
		
	
	Somente III
	
	Somente I
	
	Somente II e III
	
	I, II e III
	
	Somente I e III
	Respondido em 06/09/2021 14:10:47
	
Explicação: 
O certo seria:
A informação de uma empresa na maioria das vezes não pode ser pública, para que não prejudique o funcionamento, integridade, estratégias e tomadas de decisões da empresa.
	
	
	 
		5
          Questão 
	
	
	Em relação a segurança da informação análise as seguintes afirmações:
I. "A segurança da informação tem a função de minimizar os riscos da organização em relação à dependência do uso dos recursos de informação para o funcionamento da mesma"
II. "Sem a informação ou com uma incorreta, as empresas podem ter perdas que comprometam o seu funcionamento e o retorno de investimento dos acionistas."
III. "Segurança da informação é o conjunto de orientações, normas, procedimentos, políticas e demais ações que tem por objetivo proteger o recurso informação, possibilitando que o negócio da organização seja realizado e a sua missão seja alcançada".
 
Assinale a opção que contenha as afirmações corretas:
		
	
	Nenhuma
	
	I
	
	I e II
	
	II e III
	
	I, II e III
	Respondido em 06/09/2021 14:10:55
	
Explicação: 
Todas as afirmativas estão corretas
	
	
	 
		6
          Questão 
	
	
	Trata-se de " [...] uma sequência de símbolos quantificados ou quantificáveis. [...]" Também são ______ fotos, figuras, sons gravados e animação." Tal conceito refere-se a:
		
	
	Informação
	
	Sistemas de Informação
	
	Nenhuma da alternativas anteriores
	
	Conhecimento
	
	Dado
	Respondido em 06/09/2021 14:11:21
	
	
	 
		7
          Questão 
	
	
	Todo tipo de complemento da tarefa dentro de uma corporação requer informação. A comunicação é requerida para assegurar que estas informações provêm para a pessoa responsável pela tarefa.
Sendo a informação o elemento fundamental para todos os processos de negócio da organização, leia as asserções abaixo e, a seguir, assinale a alternativa correta:
I. A informação é um bem ou ativo de grande valor, podendo levar a organização do sucesso ao fracasso, em função de impactos financeiros, operacionais ou de imagem, ocasionados por falhas, erros ou fraudes no uso da informação;
II. A informação passou a ser um recurso estratégico para as organizações, possibilitando a geração de conhecimento e apoiando o processo de tomada de decisões. Em virtude disto, o grau de proteção e preocupação com estas informações diminuiu consideravelmente;
III. As informações trafegadas intermitentemente pela organização caracterizam-se por serem um dos seus ativos mais valiosos.
		
	
	Somente as asserções I e III estão corretas
	
	Somente as asserções I e II estão corretas
	
	Somente a asserção II está correta
	
	Somente as asserções II e III estão corretas
	
	Somente a asserção III está correta
	Respondido em 06/09/2021 14:11:29
	
Explicação: 
I. A informação é um bem ou ativo de grande valor, podendo levar a organização do sucesso ao fracasso, em função de impactos financeiros, operacionais ou de imagem, ocasionados por falhas, erros ou fraudes no uso da informação;
II. A informação passou a ser um recurso estratégico para as organizações, possibilitando a geração de conhecimento e apoiando o processo de tomada de decisões. Em virtude disto, o grau de proteção e preocupação com estas informações aumentou consideravelmente;
III. As informações trafegadas intermitentemente pela organização caracterizam-se por serem um dos seus ativos mais valiosos.
	
	
	 
		8
          Questão 
	
	
	A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Qual das opções abaixo representa melhor a sequência na evolução do tratamento dos Dados para a sua utilização eficaz nas organizações?
		
	
	Dado - Conhecimento - Informação
	
	Dado - Conhecimento Bruto - Informação Bruta
	
	Dado - Informação - Dados Brutos
	
	Dado - Informação - Informação Bruta
	
	Dado - Informação - Conhecimento
	
2
	 
		1
          Questão 
	
	
	Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para as organizações quando tratamos de Segurança da Informação?
		
	
	Valor de propriedade.
	
	Valor de troca.
	
	Valor de restrição.
	
	Valor de uso.
	
	Valor de orçamento.
	Respondido em 06/09/2021 14:12:21
	
		
	Gabarito
Comentado
	
	
	 
		2
          Questão 
	
	
	Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à:
		
	
	Não-repúdio;
	
	Integridade;
	
	Disponibilidade;
	
	Confidencialidade;
	
	Privacidade;
	Respondido em 06/09/2021 14:12:35
	
	
	 
		3
          Questão 
	
	
	As ameaças são os principais perigos a que uma empresa está́ susceptível. Essas ameaças podem ser classificadas em:
· Ameaças intencionais
· Ameaças relacionadas aos equipamentos
· Ameaças relativas a um evento natural
· Ameaças não intencionais
Em relação as ameaças relacionadas aos equipamentos, podemos afirmar:
		
	
	esse grupo de ameaças incluem todos os equipamentosou instalações físicas de uma empresa, que podem estar sujeitos a fogo, inundações, quedas de energia. É possível minimizar as chances de que o dano seja severo e também fazer um planejamento para a recuperação após a ocorrência de um desastre de ordem natural.
	
	Quando um equipamento apresenta falhas de hardware ou mesmo de software, seja por defeito ou mesmo por bugs. Colaboradores especializados podem induzir falhas aos sistemas por eles administrados.
	
	São os perigos trazidos pela falta de conhecimento. Por exemplo, um usuário ou administrador de sistema que não tenha recebido treinamento adequado, que não tenha lido a documentação, ou que não tenha entendido a importância do cumprimento das regras de segurança estabelecidas pela organização. A maior parte dos danos causados no sistema surge pela ignorância de usuários ou administradores e não por ações maliciosas.
	
	São as ameaças divulgadas pela mídia e nas quais os produtos de segurança podem atuar melhor. Podem ser do tipo agentes internos ou externos. Em que agentes externos podem ter acesso ao sistema de várias formas. Apesar do foco dos dispositivos de segurança normalmente ser o agente do tipo externo, a maior parte dos problemas de segurança é provocada por agentes do tipo internos.
	
	Nenhuma das opções abaixo
	Respondido em 06/09/2021 14:12:44
	
Explicação: 
Letra B é a correta
	
	
	 
		4
          Questão 
	
	
	Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuía um tamanho maior do que quando Maria iniciou a transmissão. Neste caso houve uma falha na segurança da informação relacionada à:
		
	
	Autenticidade;
	
	Confidencialidade;
	
	Integridade;
	
	Não-Repúdio;
	
	Auditoria;
	Respondido em 06/09/2021 14:12:52
	
	
	
	 
		5
          Questão 
	
	
	As ameaças são os principais perigos a que uma empresa está́ susceptível. Essas ameaças podem ser classificadas em:
· Ameaças intencionais
· Ameaças relacionadas aos equipamentos
· Ameaças relativas a um evento natural
· Ameaças não intencionais
Em relação a ameaça internacionais, podemos afirmar:
		
	
	Quando um equipamento apresenta falhas de hardware ou mesmo de software, seja por defeito ou mesmo por bugs. Colaboradores especializados podem induzir falhas aos sistemas por eles administrados.
	
	Nenhuma das opções acima
	
	Esse grupo de ameaças incluem todos os equipamentos ou instalações físicas de uma empresa, que podem estar sujeitos a fogo, inundações, quedas de energia. É possível minimizar as chances de que o dano seja severo e também fazer um planejamento para a recuperação após a ocorrência de um desastre de ordem natural.
	
	São as ameaças divulgadas pela mídia e nas quais os produtos de segurança podem atuar melhor. Podem ser do tipo agentes internos ou externos. Em que agentes externos podem ter acesso ao sistema de várias formas. Apesar do foco dos dispositivos de segurança normalmente ser o agente do tipo externo, a maior parte dos problemas de segurança é provocada por agentes do tipo internos.
	
	São os perigos trazidos pela falta de conhecimento. Por exemplo, um usuário ou administrador de sistema que não tenha recebido treinamento adequado, que não tenha lido a documentação, ou que não tenha entendido a importância do cumprimento das regras de segurança estabelecidas pela organização. A maior parte dos danos causados no sistema surge pela ignorância de usuários ou administradores e não por ações maliciosas.
	Respondido em 06/09/2021 14:12:59
	
Explicação: 
Opção C correta
	
	
	 
		6
          Questão 
	
	
	As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma organização, a todo instante os negócios, seus processos e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação?
		
	
	Impacto presente ou associada a ativos que manipulam ou processam informações.
	
	Fragilidade presente ou associada a ativos que manipulam ou processam informações.
	
	Fragilidade presente ou associada a ameaças que manipulam ou processam informações.
	
	Fragilidade presente ou associada a ativos que exploram ou processam informações.
	
	Ameaça presente ou associada a ativos que manipulam ou processam informações.
	Respondido em 06/09/2021 14:13:06
	
	
	 
		7
          Questão 
	
	
	O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Neste contexto qual das opções abaixo poderá definir melhor o conceito de ¿Dado¿?
		
	
	Elemento não identificado e que por si só não conduz a uma compreensão de determinado fato ou situação.
	
	Elemento identificado em sua forma trabalhada e que por si só conduz a várias compreensões de fatos e situações.
	
	Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões de fatos ou situações.
	
	Elemento identificado em sua forma trabalhada que por si só não conduz a uma compreensão de determinado fato ou situação
	
	Elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação.
	Respondido em 06/09/2021 14:13:11
	
	
	
	 
		8
          Questão 
	
	
	O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que por sua vez, mantêm a operação da empresa. Estes momentos são denominados: 
		
	
	Criação, compartilhamento, utilização e descarte
	
	Criação, utilização, armazenamento e compartilhamento
	
	Manuseio, transporte, compartilhamento e remoção
	
	Iniciação, processamento, utilização e remoção
	
	Manuseio, armazenamento, transporte e descarte
	
3
	 
		1
          Questão 
	
	
	É possível categorizar a criptografia em dois sistemas básicos:
· Sistema de chave secreta 
· Sistema de chave pública
 
I-O sistema que utiliza de chave secreta possui como base o conhecimento de uma chave secreta entre as partes que estão se comunicando. A chave deve ser mantida em segredo para garantir a segurança desse sistema.
II-O sistema de chave pública é formulado através de uma chave conhecida pelas duas partes que estão se comunicando e uma chave privada que é guardada em segredo e tem como finalidade encriptar as informações.
III-Chave é um número a ser utilizado em conjunto com um algoritmo de criptografia na criação da mensagem cifrada.
 
Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
 
		
	
	I, II e III
	
	Somente I
	
	Somente I e III
	
	Somente II
	
	Somente I e II
	Respondido em 06/09/2021 14:13:32
	
Explicação: 
Todas estão corretas
	
	
	 
		2
          Questão 
	
	
	Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "engenheiros". Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo "engenheiros" acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: 
		
	
	Integridade 
	
	Autenticidade 
	
	Confidencialidade 
	
	Auditoria 
	
	Disponibilidade 
	 
		3
          Questão 
	
	
	As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciososremotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade de Hardware: 
		
	
	Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
	
	Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
	
	Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações.
	
	Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
	
	Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
	 
		4
          Questão 
	
	
	Analise o trecho abaixo: 
"Além da falta de água nas torneiras, a crise hídrica começa agora a afetar também a distribuição de energia elétrica no país. Cidades de ao menos sete unidades federativas do Brasil e no Distrito Federal registraram cortes severos, na tarde desta segunda-feira." Jornal O DIA, em 19/01/2015.
Neste caso as empresas de Tecnologia que estão localizadas no município apresentam a vulnerabilidade do tipo: 
		
	
	Mídia
	
	Natural 
	
	Hardware 
	
	Comunicação 
	
	Física 
		5
          Questão 
	
	
	As ________________________ por si só não provocam acidentes, pois são elementos __________, para que ocorra um incidente de segurança é necessário um agente causador ou uma condição favorável que são as ___________________. 
		
	
	Ameaças, passivos, vulnerabilidades 
	
	Vulnerabilidades, ativos, ameaças 
	
	Ameaças, ativos, vulnerabilidades 
	
	Vulnerabilidades, passivos, ameaças 
	
	Ameaças, essenciais, vulnerabilidades
	 
		6
          Questão 
	
	
	Relacione a primeira coluna com a segunda:
A. Área de armazenamento sem proteção 1. ativo
B. Estações de trabalho 2. vulnerabilidade
C. Falha de segurança em um software 3. ameaça
D. Perda de vantagem competitiva 4. impacto
E. Roubo de informações 5. medida de segurança
F. Perda de negócios
G. Não é executado o  "logout" ao término do uso dos sistemas
H. Perda de mercado
I. Implementar travamento automático da estação após período de tempo sem uso
J. Servidores
K. Vazamento de informação
 
		
	
	A2, B1, C2, D4, E3, F4, G2, H4, I5, J1, K3.
	
	A2, B1, C2, D4, E4, F4, G2, H4, I5, J1, K3.
	
	A2, B1, C3, D3, E3, F4, G2, H4, I5, J1, K4.
	
	A2, B1, C3, D3, E4, F4, G2, H4, I5, J1, K3.
	
	A2, B1, C2, D3, E3, F3, G2, H4, I5, J1, K4.
	 
		7
          Questão 
	
	
	Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
I-A Criptografia é uma técnica que permite transformar informações em uma forma ilegível com a finalidade de ser reconhecida apenas pelo destinatário devido.
II-A criptografia pode ser conceituada como uma ciência que usa algoritmos para criptografar os dados de uma maneira não legível. 
III- A encriptação é o processo contrário da criptografia, em que os dados encriptados são transformados em sua forma original legível.
		
	
	I, II e III
	
	Somente III
	
	Somente II e III
	
	Somente I e II
	
	Somente I e III
	 
		8
          Questão 
	
	
	As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade de Software:
		
	
	Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
	
	Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
	
	Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
	
	Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
	
	Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários.
	
4
		1
          Questão 
	
	
	Atualmente, as organizações consideram a informação atrelada a tecnologia como um ativo valioso internamente. Essas organizações utilizam a tecnologia integrada a informação para gerir melhor seus negócios e agregar valor aos seus produtos e serviços. As ameaças à segurança de informação de uma empresa estão diretamente relacionadas com a perda de algumas características. Entre as afirmativas abaixo marque apenas as que contenha apenas informações corretas:
 
I- Integridade: Quando uma informação fica exposta a um usuário não autorizado e o mesmo efetua modificações nas informações sem a devida autorização.
II-Confidencialidade: Ocorre quando é possível acessar uma informação que deveria ter sigilo, como as senhas de um usuário ou de administrador do sistema.
III-Disponibilidade: Quando uma informação não fica mais acessível para a pessoa que necessita dele.  Isso ocorre, por exemplo, quando um sistema de comunicação de uma empresa entra em falha.
		
	
	Apenas I e III
	
	Apenas II
	
	Apenas II e III
	
	I , II e III
	
	Apenas I
	 
		2
          Questão 
	
	
	Pedro construiu um software malicioso capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Neste caso o programa poderá afetar o desempenho da rede e a utilização do computador. Neste caso podemos afirmar que Pedro construiu um: 
		
	
	Screenlogger 
	
	Backdoor
	
	Trojan 
	
	Keylogger 
	
	Worm
	 
		3
          Questão 
	
	
	Uma das primeiras ameaças que as redes estão susceptíveis são os vírus. Os vírus são programados desenvolvidos para alterar de forma nociva softwares instalados em uma rede. Sobre os vírus assinale apenas a opção que contenha apenas as opções verdadeiras:
I- O vírus é um programa normalmente malicioso que propaga-se na rede realizando cópias de si mesmo.
II-Para que o vírus se torne ativo é necessário que o mesmo seja executado pelo programa infectado.
III- Um vírus executa diretamente suas cópias e explora diretamente as vulnerabilidades existentes na rede de computadores
		
	
	Apenas I e III
	
	Apenas I
	
	Apenas I e II
	
	Apenas II
	
	I, II e III
	 
		4
          Questão 
	
	
	Programa que parece útil, mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um:
		
	
	worm
	
	cavalo de tróia (trojan horse)
	
	vírus
	
	exploit
	
	active-x
	
	
	
	 
		5
          Questão 
	
	
	Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador pode ser descrito como sendo um:
		
	
	exploit
	
	backdoor
	
	keylogger
	
	vírus
	
	spyware 
	
	
	
	 
		6
          Questão 
	
	
	Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizarem ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas:
		
	
	Métodos Quantitativos
	
	Medidas Preventivas
	
	Medidas Corretivas e Reativas
	
	Métodos Detectivos
	
	Medidas Perceptivas
	 
		7
          Questão 
	
	
	Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo teclado do usuário e é enviado para o invasor?
		
	
	Spyware
	
	Backdoor
	
	Phishing
	
	Keylogger
	
	Defacement
		8
          QuestãoPedro construiu um software malicioso capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Neste caso podemos afirmar que Pedro construiu um: 
		
	
	Trojan 
	
	Keylogger 
	
	Worm 
	
	Screenlogger 
	
	Backdoor
	
5
		1
          Questão 
	
	
	Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são realizados para um ataque de segurança?
		
	
	O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação".
	
	O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento
	
	O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema.
	
	O atacante tenta manter seu próprio domínio sobre o sistema
	
	O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência.
	Respondido em 06/09/2021 14:16:41
	
	
	 
		2
          Questão 
	
	
	Ataques a sistemas de computação são tipos de crimes virtuais que visam, entre outras coisas, obter informações que se encontram em sistemas alheios. Crimes dos quais todos os internautas e empresas correm o risco de sofrer, mas que nem sempre sabem exatamente o que são, como agem e quais danos podem vir a causar aos computadores e sistemas. Qual dos itens abaixo "não" pertence ao ciclo de um ataque:
		
	
	Quebra de sigilo bancário.
	
	Exploração das informações.
	
	Levantamento das informações.
	
	Obtenção do acesso.
	
	Camuflagem das evidências.
	 
		3
          Questão 
	
	
	Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: O ataque explora a metodologia de estabelecimento de conexões do protocolo TCP, baseado no three-way-handshake. Desta forma um grande número de requisições de conexão (pacotes SYN) é enviando, de tal maneira que o servidor não seja capaz de responder a todas elas. A pilha de memória sofre então um overflow e as requisições de conexões de usuários legítimos são, desta forma, desprezadas, prejudicando a disponibilidade do sistema. Qual seria este ataque:
		
	
	Syn Flooding.
	
	Ip Spoofing.
	
	Fraggle.
	
	Packet Sniffing.
	
	Port Scanning.
	 
		4
          Questão 
	
	
	Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Levantamento das informações" nesta receita:
		
	
	Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. 
	
	Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema.
	
	É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque.
	
	Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans. 
	
	Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. 
	 
		5
          Questão 
	
	
	Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções abaixo não representa um destes tipos de ataques?
		
	
	Ataque aos Sistemas Operacionais
	
	Ataques Genéricos
	
	Ataque para Obtenção de Informações
	
	Ataque à Aplicação
	
	Ataque de Configuração mal feita
	
	 
		6
          Questão 
	
	
	Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP , que foi mascarado pelo atacante.
		
	
	Fraggle
	
	Smurf
	
	Dumpster Diving ou Trashing
	
	Phishing Scan
	
	Shrink Wrap Code
	 
		7
          Questão 
	
	
	Na categoria de software malicioso (malware), assinale a alternativa que identifica uma ameaça que consiste no envio de uma mensagem não-solicitada, que procura induzir o destinatário a fornecer dados pessoais ou financeiros, tais como senhas, número do CPF e número da conta corrente. 
		
	
	Cavalo de troia 
	
	Keylogger (espião de teclado)
	
	Vírus de boot 
	
	Hoaxes (boatos) 
	
	Phishing 
	 
		8
          Questão 
	
	
	A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de:
		
	
	Buffer Overflow
	
	SQL injection
	
	Fraggle
	
	Smurf
	
	Fragmentação de pacotes IP
	
6
	 
		1
          Questão 
	
	
	Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.
		
	
	Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança.
	
	As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana.
	
	As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos
	
	O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.
	
	A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido.
	
	 
		2
          Questão 
	
	
	Você trabalha na área de gestão de risco da sua organização. Após a fase de análise de risco, você irá realizar a etapa de tratamento de risco através da implementação de controles que irão reduzir a probabilidade de ameaças se concretizarem, assim como a diminuição do grau de vulnerabilidade do ambiente de produção. Neste caso a medida de proteção implementada foi:
		
	
	Medidas reativas
	
	Métodos detectivos
	
	Medidas de controles
	
	Medidas corretivas
	
	Medidas preventivas
	 
		3
          Questão 
	
	
	Qual o nome da técnica/ataque ou maneira de identificar trafego de dados que "passam" em uma rede de computadores? 
		
	
	Spyware
	
	Keylogger
	
	DoS
	
	Monitor
	
	Sniffer
	 
		4
          Questão 
	
	
	Qual das opções abaixo descreve melhor o conceito de "Risco" quando relacionado com a Segurança da Informação:
		
	
	Probabilidade de um ativo explorar uma ameaça.
	
	Probabilidade de uma ameaça explorar uma vulnerabilidade
	
	Probabilidade de um incidente ocorrer mais vezes.
	
	Probabilidade de um ativo explorar uma vulnerabilidade
	
	Probabilidade de uma ameaça explorar um incidente.
	 
		5
          Questão 
	
	
	O gerenciamento de riscos é um processo que tem como objetivo dar suporte à organização para realizar suas funções vitais, em relação ao gerenciamento de risco analise as afirmativas abaixo:
I-A gestão de riscos, consiste em processos sistemáticos de identificação, análise e avaliação dos riscos e monitoramento dos riscos.
II-É um processo que identifica, avalia, prioriza e enfrenta os riscos. As organizações devem utilizar essa gestão em processos contínuos.    
III-Uma empresa organizada e com boa gerencia, possui planos que estabelecem um enfretamento para os riscos antes que os eventos associados a eles ocorram.
 
Assinale apenas a opção com afirmações corretas:
		
	
	Apenas I e III
	
	I, II e III
	
	Apenas II
	
	Apenas I
	
	Apenas III6
          Questão 
	
	
	Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar":
		
	
	Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. 
	
	Esta barreira deve munir a solução de segurança de dispositivos que sinalizem, alertem e instrumentem os gestores da segurança na detecção de situações de risco.
	
	Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. 
	
	Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. 
	
	Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. 
	 
		7
          Questão 
	
	
	Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infraestrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de alarmes. Neste caso que tipo de barreira você está implementando?
		
	
	Desencorajar
	
	Dificultar
	
	Detectar
	
	Deter
	
	Discriminar
	 
		8
          Questão 
	
	
	Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da Informação:
		
	
	Tudo aquilo que tem origem para causar algum tipo de erro nos ativos
	
	Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes.
	
	Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos
	
	Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos
	
	Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos
7
	 
		1
          Questão 
	
	
	Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
		
	
	Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 
	
	Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. 
	
	Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 
	
	Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	
	
	 
		2
          Questão 
	
	
	Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes?
		
	
	Relatório Estratégico.
	
	Diretrizes.
	
	Manuais.
	
	Procedimentos.
	
	Normas.
	 
		3
          Questão 
	
	
	Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos?
		
	
	Manuais; Normas e Relatórios
	
	Diretrizes; Manuais e Procedimentos
	
	Diretrizes; Normas e Relatórios
	
	Diretrizes; Normas e Procedimentos
	
	Manuais; Normas e Procedimentos
	 
		4
          Questão 
	
	
	Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos:
		
	
	Integridade, confidencialidade e disponibilidade
	
	Flexibilidade, agilidade e conformidade
	
	Integridade, prevenção e proteção
	
	Autenticidade, originalidade e abrangência
	
	Prevenção, proteção e reação
	 
		5
          Questão 
	
	
	A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança:
		
	
	Controle de Acesso.
	
	Gerenciamento das Operações e Comunicações.
	
	Segurança em Recursos Humanos.
	
	Segurança dos Ativos.
	
	Segurança Física e do Ambiente.
	 
		6
          Questão 
	
	
	Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares?
		
	
	Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
		7
          Questão 
	
	
	A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos levando-se em conta os objetivos e _________________ globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ____________ e do impacto potencial ao negócio.
		
	
	estratégias, ameaças
	
	oportunidades, vulnerabilidades
	
	oportunidades, ações
	
	especulações, ameaças
	
	determinações, ações 
	 
		8
          Questão 
	
	
	Sobre NBR ISO/IEC 27002 analise as opções abaixo:
I- O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa.
II-A norma NBR ISO/IEC 27002 não deve ser aplicada a todos os tipos de organizações.
III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de gestão de segurança.
Assinale a opção que contenha apenas afirmações corretas:
		
	
	Apenas  I e III
	
	Apenas II
	
	Apenas III
	
	I, II e III
	
	Apenas I
	
	
	
	
8
		1
          Questão 
	
	
	Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas,se necessário. 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:
		
	
	III e IV.
	
	II e III.
	
	I e II.
	
	I e III.
	
	II.
	 
		2
          Questão 
	
	
	O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do:
		
	
	Selecionar objetivos de controle e controles para o tratamento de riscos.
	
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	
	A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação.
	
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	 
		3
          Questão 
	
	
	A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo:
I-A norma ISO/IEC 27001 aborda a política de segurança da informação que é uma declaração da empresa em relação ao seu compromisso com a proteção dos ativos da informação
II- inclui a estruturação necessária para definir objetivos e estabelecer a orientação global e os princípios para atividades que envolvam a segurança da informação.
III-Identifica as obrigações dos contratos de segurança, regulamentações e os requisitos da organização;
Assinale apenas a opção que contenha afirmações corretas:
		
	
	I, II e III
	
	Apenas I
	
	Apenas I e II
	
	Apenas II
	
	Apenas II e III
	 
		4
          Questão 
	
	
	A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:
		
	
	implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI.
	
	implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais.
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado.
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI.
	 
		5
          Questão 
	
	
	A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é:
		
	
	Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões.
	
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. 
	
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	
	Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI.
	 
		6
          Questão 
	
	
	Não se pode dizer que há segurança da informação, a menos que ela seja controlada e gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente. Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir:
		
	
	A política do BIA.
	
	A abordagem de análise/avaliação das vulnerabilidades da organização.
	
	Identificar, Analisar e avaliar os riscos.
	
	A política de gestão de continuidade de negócio.
	
	Identificar e avaliar as opções para o tratamento das vulnerabilidades.
	 
		7
          Questão 
	
	
	A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
		
	
	Prevenção e Preventivas
	
	Corretivas e Correção
	
	Corretivas e Preventivas
	
	Corretivas e Corrigidas
	
	Corrigidas e Preventivas
	 
		8
          Questão 
	
	
	A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise: 
		
	
	A avaliação dos riscos e incidentes desejados
	
	Vulnerabilidades ou ameaças não contempladas adequadamente nas análises/avaliações de risco anteriores
	
	A realimentação por parte dos envolvidos no SGSI
	
	Os resultados das auditorias anteriores e análises críticas
	
	A avaliação das ações preventivas e corretivas
	
9
	 
		1
          Questão 
	
	
	Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuía um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação relacionada à:
		
	
	Não-Repúdio;
	
	Integridade;
	
	Auditoria;
	
	Autenticidade;
	
	Confidencialidade;
	 
		2
          Questão 
	
	
	O Plano de Continuidade do Negócio...... 
		
	
	precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais. 
	
	deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não. 
	
	não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação. 
	
	prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. 
	
	define uma ação de continuidade imediata e temporária.
	 
		3
          Questão 
	
	
	Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) estejano nível mais alto da organização? 
		
	
	Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções inesperadas. 
	
	Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas. 
	
	Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas. 
	
	Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções inesperadas. 
	
	Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas. 
	 
		4
          Questão 
	
	
	BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios.
		
	
	Simples e Objetiva.
	
	Natural e Desordenada
	
	Clara e Intelegível
	
	Estatística e Ordenada
	
	Qualitativa e Quantitativa
	 
		5
          Questão 
	
	
	Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)? 
		
	
	O PRD é mais abrangente que o PCN. 
	
	O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-se na continuidade para todos os processos. 
	
	O PCN só pode ser implementado se o PRD já tiver em uso.
	
	O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação. 
	
	O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados. 
	 
		6
          Questão 
	
	
	Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações. 
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento: 
		
	
	Incluindo a GCN na cultura da organização. 
	
	Determinando a estratégia de continuidade de negócios. 
	
	Entendendo a organização. 
	
	Testando, mantendo e analisando criticamente os preparativos de GCN. 
	
	Desenvolvendo e implementando uma resposta de GCN. 
	 
		7
          Questão 
	
	
	A gestão de continuidade de negócios (GCN) faz parte de um processo que possibilita que uma organização lide com os incidentes de interrupção que poderiam impedi-la de atingir seus objetivos.  Sobre a GCN analise as afirmativas abaixo:
I-A continuidade de negócios pode ser descrita pela capacidade de continuar a entregar seus produtos e serviços em níveis aceitáveis após a ocorrência de um incidente de interrupção.
II-Através da integração da gestão de continuidade de negócios (GCN) e de uma estrutura sistêmica de gestão da organização é que criamos um Sistema de Gestão de Continuidade de Negócios (SGCN).
III-O SGCN pode ser aplicado apenas em empresas de porte grande.
 
Assinale a opção que contenha apenas afirmações verdadeiras:
		
	
	Apenas I
	
	I, II e III
	
	Apenas I e III
	
	Apenas III
	
	Apenas I e II
	 
		8
          Questão 
	
	
	O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"? 
		
	
	Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.
	
	Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
	
	Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente, para manter ou restaurar as operações. 
	
	A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
	
	Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
	
10
	 
		1
          Questão 
	
	
	A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo (inseguro), é conhecida como:
		
	
	zona desmilitarizada (DMZ).
	
	pki.
	
	tcp/ip.
	
	wi-fi.
	
	backbone.
		2
          Questão 
	
	
	Dentre as vantagens de utilização de normas, podemos destacar as seguintes, EXCETO: 
		
	
	Demonstração de liderança de mercado
	
	Criação de vantagens competitivas
	
	Compartilhamento de informações com os stakeholders
	
	Atrair e manter clientes
	
	Desenvolvimento e manutenção das melhores práticas
	 
		3
          Questão 
	
	
	Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar:
		
	
	Um analisador de espectro de rede, para analisar o tráfego da rede
	
	Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede
	
	Um firewall para auxiliar na análise do tráfego da rede
	
	Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelo firewall
	
	Um detector de intrusão para realizar a análise do tráfego da rede
	 
		4
          Questão 
	
	
	Uma empresa teve a sua sala de servidores incendiadas e com isso perdeu todos os dados importantes para a empresa, mas ela estava preparada para a continuidade dos negócios, o que você acha que foi importante para a recuperação destes dados:
		
	
	Havia uma VPN interligando várias Intranets através da Internet. 
	
	Na empresa haviam Backups ou cópias de segurança que são itens muito importantes na administração de sistemas devendo fazer parte da rotina de operação dos sistemas da organização, através de uma política pré-determinada.
	
	A empresa possuía um FIREWALL que isolam a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e outros não, prevenindo ataques de negação de serviço ou modificações e acessos ilegais aos dados internos.
	
	Eles dispunham de uma DMZ que são pequenas redes que geralmente contém serviços públicos que são conectados diretamente ao firewall ou a outro dispositivo de filtragem e que recebem a proteção deste dispositivo.
	
	Eles tinham um IDS que tem como principal objetivo reconhecer um comportamento ou uma ação intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede. 
	 
		5
          Questão 
	
	
	Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferentedo normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar:
		
	
	Um analisador de protocolo para auxiliar na análise do tráfego da rede
	
	Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelo firewall
	
	Um sniffer de rede, para analisar o tráfego da rede
	
	Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede
	
	Um detector de intrusão para realizar a análise do tráfego da rede
	 
		6
          Questão 
	
	
	Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus componentes? 
		
	
	Redes Não Confiáveis - Não possuem controle da administração. 
	
	Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de proteção 
	
	Redes Não Confiáveis - Não é possível informar se necessitam de proteção. 
	
	Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou não confiável. 
	
	Redes Não Confiáveis - Não possuem políticas de segurança. 
	 
		7
          Questão 
	
	
	Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INCORRETA: 
		
	
	A Chave Pública pode ser divulgada livremente 
	
	A Chave Privada deve ser mantida em segredo pelo seu Dono 
	
	Cada pessoa ou entidade mantém duas chaves 
	
	Chave Pública e Privada são utilizadas por algoritmos assimétricos 
	
	A Chave Pública não pode ser divulgada livremente, somente a Chave Privada 
	 
		8
          Questão 
	
	
	Seja qual for o objeto da contingência: uma aplicação, um processo de negócio, um ambiente físico e, até mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de contingência que melhor conduza o objeto a operar sob um nível de risco controlado. Nas estratégias de contingência possíveis de implementação, qual a estratégia que está pronta para entrar em operação assim que uma situação de risco ocorrer? 
		
	
	Cold-site
	
	Acordo de reciprocidade
	
	Hot-site
	
	Realocação de operação
	
	Warm-site