introducao a seguranca da informacao 2

Prévia do material em texto

Parte superior do formulário
1) (2019 - Instituto UniFil - Prefeitura de Cambé/PR - psicólogo) A segurança da informação está relacionada à proteção de um conjunto de dados no sentido de preservar os valores que possuem para um indivíduo ou uma organização. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de segurança informática ou segurança de computadores está intimamente relacionado com ele, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si. Assinale a alternativa que não representa um dos princípios da segurança da informação.
Confidencialidade
Integridade
Permutabilidade
Disponibilidade
Parte inferior do formulário
Comentário
A alternativa "C" está correta.
Os principais pilares da segurança da informação são a confidencialidade, a integridade e a autenticidade. Há os complementares, como a autenticidade, a legalidade e o não repúdio.
Parte superior do formulário
2) (2019 - IDECAN - IF-AM - bibliotecário documentalista) A segurança da informação está baseada em três pilares: confidencialidade, integridade e disponibilidade. Com base nessa informação, analise as afirmativas a seguir.
I. Garantir o acesso por pessoa ou dispositivo devidamente autorizado a todo hardware, software e dados sempre que necessário.
II. As informações devem ser armazenadas da forma como foram criadas, de modo que não sejam corrompidas ou danificadas.
III. As informações não poderão ser vistas ou utilizadas sem as devidas autorizações de acesso por pessoas ou dispositivos. 
Assinale a alternativa que apresente a ordem correta de associação com os três pilares da segurança da informação.
I – Disponibilidade, II – Integridade, III – Confidencialidade.
I – Confidencialidade, II – Integridade, III – Disponibilidade.
I – Integridade, II – Confidencialidade, III – Disponibilidade.
I – Confidencialidade, II – Disponibilidade, III – Integridade.
Parte inferior do formulário
Comentário
A alternativa "A" está correta.
A disponibilidade determina que seja garantido o acesso.
 As informações deverem ser armazenadas da forma como foram criadas vincula-se automaticamente com a integridade. 
A informação poder ser vista apenas por pessoas autorizadas é a confidencialidade.
Parte superior do formulário
3) (2020 - IDIB - Prefeitura de Colinas do Tocantins/TO - engenheiro civil) Em se tratando de segurança da informação, a literatura da área de tecnologia da informação elenca três prioridades básicas. Essas três prioridades também são chamadas de pilares da segurança da informação. Assinale a alternativa que indica corretamente o nome da prioridade básica que está relacionada ao uso de recursos que visam restringir o acesso às informações.
Inviolabilidade
Confidencialidade
Acessibilidade
Invulnerabilidade
Parte inferior do formulário
Comentário
A alternativa "B" está correta.
Os pilares são confidencialidade, integridade e disponibilidade, além de autenticidade, legalidade e não repúdio.
Parte superior do formulário
4) (2019 - NC-UFPR - Prefeitura de Matinhos/PR - fiscal de tributos) Sobre as políticas específicas de segurança, o termo de uso ou de serviço é um documento que define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas. Esse conceito se refere à política de:
Uso aceitável
Confidencialidade
Privacidade
Não repúdio
Parte inferior do formulário
Comentário
A alternativa correta é "A".
Os pilares da segurança da informação são definidos por confidencialidade, integridade, disponibilidade, autenticidade e legalidade, além do não repúdio. Tais conceitos têm relação com os pilares, e não diretamente com as políticas.
Parte superior do formulário
5) A internet foi criada no final da década de 1990 nos laboratórios do CERN pelo físico britânico Tim Berns-Lee. Desde aquele tempo, diversas criações vieram moldando as gerações subsequentes. Atualmente, destacam-se as imagens na internet conhecidas como memes. Alguns deles têm, na verdade, um caráter educativo, ensinando, de forma lúdica, algumas práticas que não devem ser seguidas. Uma delas é o manuseio de senhas.
Na verdade, a ideia é ensinar ao usuário a manusear sua senha de forma correta, não deixando-a, por exemplo, embaixo do teclado. No meme do tapete que fala sobre isso, o objetivo é ensinar ao usuário como manejá-la corretamente. Marque o item que integra esse ensinamento.
Confidencialidade
Disponibilidade
Integridade
Irretratabilidade
Parte inferior do formulário
Comentário
A alternativa correta é "A".
A confidencialidade está relacionada à manutenção de uma informação passível de ser observada, lida ou acessada apenas por quem tem direito. Em outras palavras, é semelhante a deixar uma conta de e-mail aberta para que qualquer pessoa possa lê-la sem precisar da senha (chave embaixo do tapete, senha embaixo do teclado).
Parte superior do formulário
6) Alguns anos após sua aposentadoria, Bill resolve estudar para obter uma certificação de segurança. Ele e seu vizinho de porta, Steve, que também gostaria de tirar a tão sonhada certificação, resolvem criar mnemônicos para decorar os assuntos.
Para decorar os pilares da segurança da informação, eles criam o seguinte mnemônico: “Cresci vendo televisão. Sempre achei o CID muito seguro ao narrar as reportagens”. Bill e Steve criaram vários mnemônicos. No dia seguinte, houve a prova de certificação. Sua primeira questão versava sobre os pilares. A ideia do mnemônico deu certo, mas eles esqueceram o que representava cada letra.
Você resolve explicar para eles o significado de cada uma. Marque a alternativa que apresenta os termos corretos.
Confidencialidade, integridade e disponibilidade.
Confiabilidade, integridade e disponibilidade.
Confidencialidade, irretratabilidade e disponibilidade.
Confiabilidade, integridade e dedutibilidade.
Parte inferior do formulário
Comentário
A alternativa "A" está correta.
C é de confidencialidade, que é a capacidade do acesso à informação apenas por aqueles que possuem autorização; I, de integridade, que é a possibilidade de alteração da informação por pessoas ou sistemas autorizados; e D, de disponibilidade, que é a faculdade de uma informação poder ser acessada, em qualquer tempo, por pessoas ou sistemas autorizados para tal.
Parte superior do formulário
1) Ao realizarmos o download de uma ISO de um software, normalmente usamos as funções de hash. Marque a alternativa que apresenta o pilar da segurança da informação que corresponde ao uso dessas funções.
Confidencialidade
Integridade
Disponibilidade
Legalidade
Parte inferior do formulário
Comentário
Parabéns! A alternativa "B" está correta.
As funções de hash criam um conjunto de valores alfanuméricos que representa a informação. Alterando-se um bit da informação, normalmente todo o conjunto de valores é alterado. Dessa forma, assegura-se de que não haverá alteração da informação.
Parte superior do formulário
2) Constitui um dever de todo cidadão elaborar anualmente o imposto de renda. Com o advento da internet, a nossa declaração agora pode ser enviada diretamente para os servidores do governo. No início dessa metodologia, era comum haver notícias nos telejornais sobre os servidores não aguentaram e se desligarem sozinhos. Marque a alternativa que apresente o pilar da segurança da informação que denomina perfeitamente tal situação.
Confidencialidade
Integridade
Disponibilidade
Conformidade
Parte inferior do formulário
Comentário
Parabéns! A alternativa "B" está correta.
Quando os servidores foram desligados, pararam de funcionar; com isso, tornaram-se indisponíveis.
Parte superior do formulário
1) (2019 - IF-BA - assistente em administração) A respeito dos conceitos que envolvem a segurança da informação, analise as afirmativas a seguir.
I. Os mecanismos de segurança podem ser lógicos ou físicos.
II. A perda de confidencialidade, integridade e disponibilidade é um exemplo dos eventos que comprometem a segurança da informação.
III. Assinatura digital,encriptação e firewall são exemplos de mecanismos lógicos de segurança.
Assinale:
Se somente as afirmativas I e II estiverem corretas.
Se somente a afirmativa II estiver correta.
Se somente a afirmativa I estiver correta.
Se todas as afirmativas estiverem corretas.
Parte inferior do formulário
Comentário
A alternativa correta é "D".
A alternativa "D" está correta.
Mecanismos ou controles de segurança podem ser lógicos e físicos. A segurança da informação é baseada em três aspectos fundamentas: confidencialidade, integridade e disponibilidade. Desse modo, a perda de qualquer um dos três aspectos já impacta na segurança. A pior situação ocorre quando perdemos os três juntos: trata-se praticamente de uma catástrofe. Por fim, os mecanismos lógicos, por definição, envolvem algoritmos.
Parte superior do formulário
2) (2019 - Comperve - UFRN - analista de tecnologia da informação) A segurança computacional possui uma terminologia própria. Uma padronização na utilização dessa terminologia garante o correto entendimento entre os diferentes agentes envolvidos. Em relação a isso, considere as seguintes afirmações sobre a segurança computacional.
I. A segurança física visa a providenciar mecanismos para restringir o acesso às áreas críticas da organização a fim de garantir a integridade e a autenticidade dos dados.
II. Uma ameaça pode ser definida como algum evento que pode ocorrer e acarretar algum perigo a algum ativo da rede. As ameaças podem ser intencionais ou não intencionais.
III. São ameaças mais comuns às redes de computadores o acesso não autorizado, o reconhecimento (ex.: PortScan) e a negação de serviço (ex.: DoS ou DDoS).
IV. O “tripé da segurança” é formado de pessoas, processos e políticas de segurança. De nada adianta uma política do tipo se as pessoas e os processos não forem considerados.
Em relação à segurança computacional, estão corretas as afirmativas:
III e IV
II e IV
II e III
I e II
Parte inferior do formulário
Comentário
A alternativa correta é "C".
A segurança é baseada em camadas; na parte física, são definidos os controles de acesso a determinadas regiões da instituição, como, por exemplo, cancelas, catracas e sistemas de acesso biométrico. Quando eles perdem sua finalidade, o atacante pode chegar fisicamente perto do equipamento, podendo danificar a parte física dele. Dos vários problemas que podem ser realizados, devemos destacar a possibilidade de se quebrar o equipamento (colocando em risco a integridade da informação) ou modificá-lo de forma prejudicial (colocando em risco a autenticidade da informação). Contudo, não podemos garantir esses fatores. Neste ponto um problema é gerado, pois ainda existem outros mecanismos que podem prover, pelo menos, a autenticidade dos dados.
A ameaça é um evento que pode provocar a perda de um dos três pilares da segurança: confidencialidade, integridade e disponibilidade. Sobre as ameaças comuns às redes, os exemplos estão corretos, porém, de acordo com as últimas estatísticas, isso pode mudar a qualquer momento. Tais ameaças são comuns, pois, até o presente momento, não existe uma solução completa para isso.
Parte superior do formulário
3) (2016 - CESPE /Cebraspe - TRT - 8ª Região - analista judiciário - tecnologia da informação) Correspondem a itens capazes de oferecer controle ou proteção no âmbito da segurança física preventiva:
As chaves públicas criptográficas.
Os dispositivos de autenticação biométrica.
Os sistemas de autenticação por senhas single sign on.
Os certificados digitais.
Parte inferior do formulário
Comentário
A alternativa "B" está correta.
A segurança física está relacionada ao acesso às dependências das instalações; a lógica, aos algoritmos que protegem os dados.
Parte superior do formulário
4) (2013 - FCC - TRT - 9ª Região - técnico judiciário – segurança) Convém que sejam utilizados perímetros de segurança (barreiras, como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação. Além disso, que sejam levadas em consideração e implementadas as seguintes diretrizes para perímetros de segurança física, quando apropriado:
I. Os perímetros de segurança devem ser claramente definidos, assim como a localização e capacidade de resistência de cada perímetro precisam depender dos requisitos de segurança dos ativos existentes no interior do perímetro e dos resultados da análise/avaliação de riscos.
II. Os perímetros de um edifício ou de um local que contenha instalações de processamento da informação precisam ser fisicamente sólidos (ou seja, o perímetro não deve ter brechas nem pontos onde poderia ocorrer facilmente uma invasão).
III. Deve-se implantar uma área de recepção ou outro meio para controlar o acesso físico ao local ou ao edifício. Esse acesso deve ficar restrito somente ao pessoal autorizado.
IV. Devem ser construídas barreiras físicas, onde for aplicável, para impedir o acesso físico não autorizado e a contaminação do meio ambiente.
Está correto o que se afirma em:
II, III e IV
I, II e III
II e III
I, II, III e IV
Parte inferior do formulário
Comentário
A alternativa "D" está correta.
As instalações físicas devem possuir seguranças justapostas de forma que a fraqueza de uma camada possa ser recoberta por outra. Essa lógica fica clara no funcionamento de guaritas, cancelas e sensores biométricos.
Parte superior do formulário
5) Ao projetar uma rede, é comum adotar um firewall para proteger uma rede interna. Com relação ao papel do firewall, marque a opção que apresenta uma forma correta de classificar este ativo de TIC.
Segurança lógica
Segurança física
Segurança patrimonial
Segurança empresarial
Parte inferior do formulário
Comentário
A alternativa correta é "A".
O firewall é um importante ativo de rede; desse modo, encontrá-lo em um projeto de rede torna-se imprescindível. Ele protege uma rede interna analisando e bloqueando, por meio de algoritmos proprietários de cada marca, o acesso e o transporte de dados para dentro dela. Por manipulá-los, este ativo é classificado como segurança lógica.
Parte superior do formulário
6) A partir da pandemia ocorrida em 2020, os sistemas de acesso evoluíram para o uso de reconhecimento facial. Muitos destes sistemas possuem slogans bem criativos, como este: “Um sistema de acesso com reconhecimento facial permite levar a sua empresa diretamente para o mundo da alta tecnologia por meio do uso desta importante ferramenta de segurança _______________”.
Marque a alternativa que apresenta o termo que completa o slogan anterior de forma mais satisfatória.
Lógica
Física
Mista
Empresarial
Parte inferior do formulário
Comentário
A alternativa "B" está correta.
Um sistema de acesso, independentemente do tipo de chave (senha) criado, permite o bloqueio físico a determinado local. Esta chave (senha), com o passar do tempo, vem evoluindo bastante: cartões com códigos de barra, tarja magnética, digital, veias da mão e, agora, reconhecimento facial.
Parte superior do formulário
1) (2019 - FCC - TRF - 4ª Região - analista judiciário - sistemas de tecnologia da informação) Suponha que um analista do Tribunal Regional Federal da 4ª Região se depare com uma situação em que deve implantar mecanismos de proteção interna voltados à segurança física e lógica das informações no ambiente do tribunal. Para isso, ele levantou os seguintes requisitos:
I. Não instalar em áreas de acesso público equipamentos que permitam o acesso à rede interna do tribunal.
II. Os usuários não podem executar transações de TI incompatíveis com sua função.
III. Apenas usuários autorizados devem ter acesso ao uso dos sistemas e aplicativos.
IV. É necessário proteger o local de armazenamento das unidades de backup e restringir o acesso a computadores e impressoras que possam conter dados confidenciais.
O analista classificou correta e respectivamente os requisitos de I a IV como uma segurança:
Física, física, lógica e física.
Física, lógica, lógica e física.
Lógica, física,lógica e física.
Lógica, física, física e lógica.
Parte inferior do formulário
Comentário
Parabéns! A alternativa "B" está correta.
A segurança física está relacionada ao acesso às instalações, enquanto a lógica trata dos algoritmos.
Parte superior do formulário
2) (2018 - Cesgranrio - Transpetro - analista de sistemas júnior - processos de negócio) Para proteger as redes de dados, as empresas criam perímetros de segurança formados por componentes que avaliam o tráfego de ingresso e egresso. O componente que utiliza listas de controle de acesso formadas por regras que determinam se um pacote pode ou não atravessar a barreira é a(o):
Parte superior do formulário
Firewall
Proxy
DMZ
IPS
Parte inferior do formulário
Comentário
Parabéns! A alternativa "A" está correta.
O firewall usa as regras para criar barreiras e políticas relacionadas.
Parte superior do formulário
1. (Adaptado de COPESE – UFT – 2018 – Câmara de Palmas-TO – Técnico em Informática) São consideradas vulnerabilidades e/ou ameaças a um sistema, exceto:
Acessos não autorizados ou perda de comunicação.
Instalações prediais, incluindo a presença de detectores de fumaça e outros recursos para combate a incêndio.
Erros na instalação ou na configuração de softwares.
Invasão e/ou monitoramento do sistema, mesmo sem alteração de informações.
Parte inferior do formulário
Comentário
Parte superior do formulário
2. (Adaptado de COPESE – UFT – 2018 – Câmara de Palmas-TO – Analista de Sistemas) A vulnerabilidade está relacionada ao ponto fraco de um ativo, ou seja, pode ser entendida como uma fragilidade. Nesse sentido, analise as afirmativas abaixo:
I. Erros durante a instalação de hardwares, bem como falha nos recursos tecnológicos não podem ser considerados exemplos de vulnerabilidade.
II. Erros na instalação ou na configuração de softwares podem acarretar acessos indevidos, vazamento de informações e perda de dados, sendo exemplos de vulnerabilidade.
III. A vulnerabilidade trata-se de um erro de procedimento, falha de um agente ou má configuração dos aplicativos de segurança. Quando isso ocorre, há um rompimento de um ou mais princípios da segurança da informação.
Agora, assinale a alternativa correta:
Apenas as afirmativas I e II estão corretas.
Apenas as afirmativas II e III estão corretas.
Apenas as afirmativas I e III estão corretas.
Apenas as afirmativas I e II estão incorretas.
Parte inferior do formulário
Comentário
A alternativa "B" está correta.
Parte superior do formulário
1. (IADES – 2019 – CRF-TO – Analista de TI) “[...] é uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças” (HINTZBERGEN, 2018). A definição apresentada refere-se ao conceito de:
Exposição.
Salvaguarda.
Vulnerabilidade.
Risco.
Parte inferior do formulário
Comentário
Parabéns! A alternativa "C" está correta.
Como pudemos verificar neste módulo, “vulnerabilidades” e “fraquezas” são conceitos que estão intimamente relacionados.
Parte superior do formulário
2. Considere o ataque às torres gêmeas que aconteceu em Nova York. Marque a opção que não apresenta uma possível classificação àquela ameaça:
Lógica.
Humana.
Infraestrutura.
Terrorista.
Parte inferior do formulário
Comentário
Parabéns! A alternativa "A" está correta.
O ataque às torres gêmeas ocorreu quando aviões comerciais foram sequestrados por grupos terroristas; assim, foi uma ameaça física, humana, que nesse contexto é sinônimo de terrorista e infraestrutura.
1. (IF-MT – 2019 – Técnico em Laboratório – Informática) Sobre os conceitos e definições de vulnerabilidades, ameaças e riscos, julgue os itens abaixo e assinale a alternativa correta.
Um spyware tem a capacidade de, ao infectar o computador, criptografar os documentos e, posteriormente, solicitar pagamento para liberação dos arquivos.
Ransomware espiona o que é feito no computador, coleta dados de teclas pressionadas, hábitos de navegação e até informações de login.
Um Adware tem a finalidade de prejudicar o funcionamento do computador, ele se autorreproduz e apaga arquivos e registros importantes do sistema operacional.
A propagação de um worm pode ocorrer sem o controle da vítima. Assim que o computador é infectado, o programa malicioso cria cópias de si mesmo.
Parte superior do formulário
. (Adaptado de Instituto Consulplan – 2019 – Prefeitura de Suzano-SP – Analista de Sistemas) As tecnologias de proteção se tornaram cada vez mais eficazes ao longo do tempo. Antivírus, firewalls, dentre outras técnicas foram aprimoradas visando à proteção dos usuários conectados à internet. Sobre códigos maliciosos, assinale a alternativa correta.
O ataque SYN FLOOD consiste em alterar os pacotes IP de saída.
Hijackers são programas capazes de alterar a página inicial do navegador.
Phishing visa causar um DoS (Denial of service), ocasionando interrupção do sistema.
UDP Flood consiste no envio maciço de datagramas UDP para determinado servidor.
Parte inferior do formulário
Comentário
A alternativa correta é "B".
Parte superior do formulário
3. (IF-BA – 2019 – Técnico de Tecnologia da Informação) Sobre os softwares maliciosos, é correto afirmar que:
Um ransomware é um software malicioso que disfarça sua verdadeira intenção por meio de um software que aparenta ser útil.
Um trojan horse, ou cavalo de Troia, é um software malicioso que ameaça publicar os dados da vítima ou torná-los inacessíveis, a menos que um resgate seja pago.
Um backdoor é um software malicioso que permite o acesso remoto de um invasor a um sistema comprometido.
Um worm é um programa projetado para enviar as informações coletadas sobre o usuário para terceiros sem o seu consentimento.
Parte superior do formulário
1. (IBFC – 2018 – Câmara de Feira de Santana-BA – Técnico de Suporte em Informática) É um software nocivo do tipo spyware, cuja finalidade é registrar tudo o que é digitado, quase sempre a fim de capturar senhas, números de cartão de crédito e afins. Essa é a descrição técnica do:
Datalogger.
Keycutter.
Datacutter.
Keylogger.
Parte inferior do formulário
Comentário
Parabéns! A alternativa "D" está correta.
As letras B e C não existem e Datalogger não está relacionado com segurança.
Parte superior do formulário
2. (CESGRANRIO – 2018 – Transpetro – Analista de Sistemas Júnior – Infraestrutura) O código malicioso que visa a criptografar os dados das vítimas e cobrar pagamento de resgate pela chave e pelo código de decriptação é classificado como um:
Worm.
Spyware.
Ransomware.
Trojan Horse.
Parte inferior do formulário
Comentário
Parabéns! A alternativa "C" está correta.
Worm é um malware que se prolifera sozinho através de compartilhamentos de rede. 
Spyware captura o comportamento do usuário e envia para um atacante. 
Cavalo de Troia, ou trojan horse, é uma técnica em que um software malicioso se faz passar por outro software.
Parte superior do formulário
1. Qual palavra é citada frequentemente na norma ISO/IEC 27001, que constitui sua característica marcante?
CONVÉM
RECOMENDA
DEVE
ESPERA
Parte inferior do formulário
Comentário
Parabéns! A alternativa "C" está correta.
Orientações do que DEVE ser feito. Os requisitos definidos nesta norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. A exclusão de quaisquer dos requisitos especificados nas seções de 4 a 10 na versão 2013 não é aceitável quando uma organização reivindica conformidade com esta norma.
Parte superior do formulário
2. Marque a alternativa correta quanto à afirmação sobre a norma ISO/IEC 27002.
A palavra-chave que determina a sua principal característica é DEVE.
A relevância de qualquer controle deve ser determinada segundo os riscos específicos a que uma organização está exposta.
Todos os controles são importantes e devem ser considerados.
Eventuais controles adicionais e recomendações que a comissão de segurança da organização deseja implementar, mas que não estejam incluídos na norma, devem ser desconsiderados.”
Parte inferior do formulário
Comentário
Parabéns!A alternativa "B" está correta.
A norma contém orientações do que CONVÉM ser feito. Embora todos os controles sejam importantes e devam ser considerados, a relevância de qualquer controle deve ser determinada segundo os riscos específicos a que uma organização está exposta. Nem todos os controles e diretrizes contidos na norma podem ser aplicados, e controles adicionais e recomendações não incluídos podem ser necessários. Ela possui 35 objetivos de controles e 114 controles básicos distribuídos em 14 seções.
Parte superior do formulário
1. Continuando com o exemplo do estudo de caso para aplicação dos itens da norma ABNT NBR ISO/IEC 27001:2013, da empresa de web hosting que busca a conformidade para o seu Sistema de Gestão de Segurança da Informação, e considerando as mesmas sugestões e premissas definidas no início dos conceitos deste módulo, seja a seguinte descrição da cena/ocorrência:
Marque a alternativa que representa o parecer mais adequado do auditor para a descrição da cena:
Existe não conformidade, os auditores não devem auditar seu próprio trabalho.
A descrição é uma simples observação para uma descrição importante que ainda não foi feita.
A prática está em conformidade com a norma, tendo em vista a possibilidade de a equipe ser pequena e o funcionário possuir competência para tal.
Faltam as informações se esse fato estava previsto nos critérios dessa auditoria e se a imparcialidade foi assegurada.
Parte inferior do formulário
Comentário
Parabéns! A alternativa "D" está correta.
Na realidade, todas as respostas podem estar corretas, mas conforme já informado, iremos analisar com as sugestões e premissas estabelecidas no primeiro exemplo.
Essa cena será enquadrada no item 9.2, Auditoria Interna.
A letra A estaria correta se estivéssemos utilizando a norma ABNT NBR ISO/IEC 27001:2006, que cita exatamente que os auditores não devem auditar seu próprio trabalho. Essa frase deixou de existir na versão 2013, embora ainda seja uma boa prática.
Na letra B, pode até ser que venha uma descrição mais importante, mas iremos nos ater apenas à descrição, que já é suficiente para o auditor analisar na norma ou fazer questionamentos ao auditado.
A letra C não está correta, pois faltam informações sobre algumas frases do item da norma.
Enfim, na letra D, o auditor realizará exatamente as perguntas sobre as informações faltantes descritas, e ainda cabe mais uma, se esse acontecimento (auditar o próprio trabalho) está previsto no programa de auditoria.
Parte superior do formulário
2. Leia a notícia a seguir extraída de um site da web, para aplicação dos itens da norma ABNT NBR ISO/IEC 27002:2013:
Quando o Deutsche Bank perdeu seus escritórios nos ataques de 11 de setembro, os funcionários puderam acessar o e-mail corporativo no dia seguinte para que pudessem se conectar com clientes e colegas de trabalho em casa. "Tivemos acesso aos nossos arquivos, embora a TI estivesse na Torre Dois do World Trade Center", diz uma fonte. "Tivemos backup em Jersey City. Não perdemos nada. Tenho amigos que trabalham em empresas menores que não ficaram dois meses sem poder ir ao escritório. O escritório de advocacia de um amigo faliu.
(Deutsche Bank, 2009)
Este relato de adoção de medidas de proteção, nestes termos, poderá ser melhor enquadrado no item da norma ISO/IEC 27002:2013:
7.1: Antes da contratação, dentro do item 7, Segurança em Recursos Humanos.
9.2: Gerenciamento de acesso do usuário, dentro do item 9, Controle de Acesso.
10.1: Controles criptográficos, dentro do item 10, Criptografia.
17.1: Continuidade da segurança da informação, dentro do item 17, Aspectos da segurança da informação na Gestão da Continuidade do Negócio.
Parte inferior do formulário
Comentário
Parabéns! A alternativa "D" está correta.
Este é um relato jornalístico que carece de detalhes, mas usaremos para fins didáticos. Também faltam os subitens de cada uma das subseções citadas, mas a análise do exercício ficaria muito extensa. Para melhor enquadramento a um item da norma ISO/IEC 27002:2013, vamos analisar o objetivo de controle de cada item:
Letra a) 7.1: Antes da contratação. Objetivo: Assegurar que funcionários e partes externas entendem as suas responsabilidades e estão em conformidade com os papéis para os quais eles foram selecionados.
Letra b) 9.2: Gerenciamento de acesso do usuário. Objetivo: Assegurar acesso do usuário autorizado e prevenir acesso não autorizado a sistemas e serviços.
Letra c) 10.1: Controles criptográficos. Objetivo: Assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e/ou integridade da informação.
Letra d) 17.1: Continuidade da segurança da informação. Objetivo: Convém que a continuidade da segurança da informação seja contemplada nos sistemas de gestão da continuidade do negócio da organização.
Parte superior do formulário
1. Um funcionário de uma organização resolveu adotar o número de sua matrícula como senha. Marque a alternativa que apresenta a postura que deve ser adotada pela empresa para evitar essa situação:
A organização deve sugerir um padrão de senhas.
A organização não deve fazer nada, pois a responsabilidade pela senha é do funcionário.
A organização deve implementar um sistema que verifique se a senha atende a determinados pré-requisitos.
A organização deve obrigar que os funcionários mudem suas senhas periodicamente.
Parte inferior do formulário
Comentário
Parabéns! A alternativa "C" está correta.
O responsável pelo cadastro das senhas pode implementar um programa para evitar algumas situações, como inclusão de nomes, números de matrícula e números sequenciais, por exemplo.
Parte superior do formulário
2. Selecione a opção que apresenta algumas das recomendações de treinamento em conscientização de segurança que podem ser implementadas nas organizações:
Escolher indivíduos específicos para treinar.
A responsabilidade pela segurança da informação é apenas dos funcionários, portanto, a organização não deve fazer nada.
A responsabilidade pela segurança da informação é apenas da diretoria, portanto, a organização não deve fazer nada.
Desenvolver treinamentos e exercícios de simulação.
Parte inferior do formulário
Comentário
Parabéns! A alternativa "D" está correta.
Algumas recomendações de treinamento são:
· Envolvimento da diretoria;
· Esforço por parte de toda a organização;
· Criação de conteúdo de treinamento de conscientização de segurança;
· Diversidade de treinamento;
· Exercícios de simulação;
· Constância no treinamento de conscientização de segurança.
· Parte superior do formulário
· 3. Quais são os recursos que o controle de acesso visa proteger?
· 
· Apenas dados pessoais.
· 
· Apenas dados organizacionais.
· 
· Todos os programas da organização.
· 
· Todos os recursos que possam fornecer informação sobre a organização, seus funcionários, clientes e parceiros.
· Parte inferior do formulário
· Comentário
· Parabéns! A alternativa "D" está correta.
· 
· Aplicativos, arquivos de dados, utilitários e sistema operacional, arquivos de senha e arquivos de log. O objetivo do controle de acesso não é proibir ou dificultar o acesso, mas controlar o acesso aos recursos.
· Parte superior do formulário
· 4. (Adaptado de CESPE – Polícia Federal – Papiloscopista – 2018) “São exemplos de vírus contidos em programas aparentemente inofensivos. Além disso, as suas ações são disfarçadas pelas funcionalidades do programa hospedeiro”. Considere a definição dada e selecione a opção que corresponde a esse tipo de vírus:
· 
· Cavalo de Troia.
· 
· Polimórfico.
· 
· Vírus stealth.
· 
· Vírus blindado.
· Parte inferior do formulário
· Comentário
· Parabéns! A alternativa "A" está correta.
· 
· Cavalos de Troia (trojan) são programas aparentemente inofensivos que trazem embutidos em si outro programa malicioso, ou seja, o vírus. Trata-se de um tipo de malware que, frequentemente, está disfarçado de software legítimo, ou seja, induz o usuário ao erro. Os criminosos virtuais e hackers utilizam esse tipo de vírus para obter acesso aos sistemasdos usuários e cometer crimes.
· Parte superior do formulário
· 1. Você deseja enviar uma mensagem por meio de criptografia, no entanto, precisa garantir a integridade dos dados. Qual tipo de criptografia você poderá utilizar?
· 
· Chave simétrica
· 
· Chave assimétrica
· 
· Função hash
· Parte inferior do formulário
· Comentário
· Parabéns! A alternativa "C" está correta.
· 
· As funções de hash são adequadas para garantir a integridade dos dados, porque qualquer alteração feita no conteúdo de uma mensagem fará com que o receptor calcule um valor de hash diferente daquele colocado na transmissão pelo remetente. Como é altamente improvável que duas mensagens diferentes produzam o mesmo valor de hash, a integridade dos dados é garantida com muita confiança.
· Parte superior do formulário
· 2. Você deseja enviar uma mensagem por meio de criptografia, no entanto, deseja garantir a privacidade e a confidencialidade da mensagem. Qual tipo de criptografia você poderá utilizar?
· 
· Chave simétrica
· 
· Chave assimétrica
· 
· Função hash
· Parte inferior do formulário
· Comentário
· Parabéns! A alternativa "A" está correta.
· 
· A criptografia de chave secreta é ideal para criptografar mensagens, proporcionando privacidade e confidencialidade. O remetente pode gerar uma chave de sessão por mensagem para criptografar a mensagem e o receptor precisará da mesma chave de sessão para descriptografar a mensagem.
· Parte superior do formulário
· 3. Você deseja enviar uma mensagem por meio de criptografia, no entanto, não quer que ocorra troca de chaves. Qual tipo de criptografia você poderá utilizar?
· 
· Chave simétrica
· 
· Chave assimétrica
· 
· Função hash
· Parte inferior do formulário
· Comentário
· Parabéns! A alternativa "B" está correta.
· 
· A criptografia assimétrica usa um par de chaves, em que uma chave é usada para criptografia e outra para descriptografia.
· Parte superior do formulário
· 5. Marque a alternativa que apresenta os tipos de criptografias:
· 
· Chave simétrica, chave assimétrica e função Hash.
· 
· Quântica e Hash.
· 
· SHA, MD5 e PCK.
· 
· Firewall e antivírus.
· Parte inferior do formulário
· Comentário
· Parabéns! A alternativa "A" está correta.
· 
· Criptografia de chave simétrica, criptografia de chave assimétrica e função Hash. O motivo da existência de três tipos de criptografia é que cada esquema é otimizado para alguma aplicação específica. As funções de hash, por exemplo, são adequadas para garantir a integridade dos dados. A criptografia de chave secreta, por sua vez, é ideal para criptografar mensagens, proporcionando privacidade e confidencialidade. A troca de chaves é uma aplicação importante da criptografia de chave pública.
· Parte superior do formulário
· 6. Selecione a opção que apresenta todos os itens que compõem um certificado digital:
· 
· Nome do titular do certificado, biometria, o indivíduo ou a entidade identificada pelo certificado, datas de expiração, cópia da chave pública do detentor de certificado.
· 
· Nome do titular do certificado, número de série usado para identificar exclusivamente um certificado, o indivíduo ou a entidade identificada pelo certificado, datas de expiração, cópia da chave pública do detentor de certificado.
· 
· Nome do titular do certificado, número de série usado para identificar exclusivamente um certificado, o indivíduo ou a entidade identificada pelo certificado, datas do envio do certificado, cópia da chave pública do detentor de certificado.
· 
· Nome do titular do certificado, número de série usado para identificar exclusivamente um certificado, o indivíduo ou a entidade identificada pelo certificado, datas de expiração, trechos criptografados da mensagem.
· Parte inferior do formulário
· Comentário
· Parabéns! A alternativa "B" está correta.
· 
· O certificado digital destina-se a qualquer pessoa, física ou jurídica, sendo emitido por uma Autoridade Certificadora (AC). A AC emite um certificado digital criptografado contendo o nome do sujeito (a organização ou indivíduo certificado), a chave pública do sujeito, um número de série (para identificar exclusivamente o certificado), uma data de validade, a assinatura da autoridade de certificação confiável e qualquer outra informação relevante. O objetivo é garantir a autenticidade do usuário, ou companhia que faça uso do certificado digital, ou seja, certificar que o usuário ou a empresa são, de fato, quem dizem ser.
· Parte superior do formulário
· 1. Imagine que uma pessoa não autorizada conseguiu invadir o datacenter de uma organização corporativa que possui roteadores e servidores. Dentro dos termos relacionados à segurança da informação, esta pessoa, para a corporação, pode ser considerada:
· 
· a) Impacto
· 
· b) Vulnerabilidade
· 
· c) Controle
· 
· d) Ameaça
· Parte inferior do formulário
· Responder
· Comentário
· 
· 
· Parabéns! A alternativa D está correta.
· 
· A norma ABNT NBR ISO/IEC 27002:2013 diz que “ativos são objeto de ameaças tanto acidentais como deliberadas. […] em função das várias maneiras nas quais as ameaças podem se aproveitar das vulnerabilidades para causar dano à organização, os riscos de segurança da informação estão sempre presentes. Uma segurança da informação eficaz reduz esses riscos, protegendo a organização das ameaças e vulnerabilidades e, assim, reduzindo o impacto aos seus ativos”.
· Parte superior do formulário
· 2. Segundo a norma ABNT NBR ISO/IEC 27001:2013, uma organização, para entender as necessidades e as expectativas das partes interessadas, “deve determinar: a) As partes interessadas que são relevantes para o sistema de gestão de segurança da informação; e b) Os requisitos dessas partes interessadas relevantes para a segurança da informação”.
As partes interessadas em um sistema de gestão de segurança da informação podem ser entendidas como:
· 
· a) As pessoas que não possuem interesse na organização.
· 
· b) Os indivíduos ou grupos que se interessam pelo desempenho ou sucesso da organização.
· 
· c) Pessoas que possuem interesses estritamente pessoais.
· 
· d) Outras empresas que realizam as próprias análises de risco.
· Parte inferior do formulário
· Responder
· Comentário
· 
· 
· Parabéns! A alternativa B está correta.
· 
· As partes interessadas são pessoas, grupos ou organizações que podem gerar um impacto ou ser impactados pelo desempenho da organização.
· Parte superior do formulário
· 1. Segundo a ABNT (2018), a avaliação de riscos de TI e segurança da informação é baseada na elaboração da uma matriz de risco estruturada com aderência à norma ISO/IEC 27005. Tal norma identifica os principais itens que compõem o ambiente avaliado, especificando com clareza suas vulnerabilidades e ameaças.
Além disso, a matriz apresenta o impacto da exploração dessas vulnerabilidades pelas ameaças e a probabilidade de tal ocorrência. O risco, portanto, é um resultado da função impacto versus probabilidade, sendo estimado quantitativa (estimativa numérica) e qualitativamente (conceitual).
Na tabela de risco a seguir, correlacione os números correspondentes aos impactos na coluna da esquerda com as respectivas probabilidades que, à direita, padronizam o enquadramento da identificação de riscos:
· 
Assinale a alternativa que apresenta a sequência correta:
· 
· a) 1, 2, 3
· 
· b) 2, 1, 3
· 
· c) 3, 2, 1
· 
· d) 3, 1, 2
· Parte inferior do formulário
· Responder
· Comentário
· 
· 
· Parabéns! A alternativa B está correta.
· 
· O quadro a seguir ajuda a entender as respostas da questão:
· 
· Em seguida, podemos elaborar a matriz de risco, como, por exemplo, esta:
· 
· Parte superior do formulário
· 2. A tabela a seguir oferece um resumo dos tipos de ameaças à segurança enfrentadas no uso da web:
Mostramos acima um levantamento das consequências de algumas ameaças para um grupo de aspectos de segurança. Na gestão de riscos, este tipo de tabela, sem levar em consideração a tomada de decisão feita após sua elaboração, pode ser um dos frutos da atividade da seguinte etapa:
· 
· a) Estabelecimento do contexto
· 
· b) Análise dos riscos· 
· c) Tratamento do risco
· 
· d) Aceitação do risco residual
· Parte inferior do formulário
· Responder
· Parabéns! A alternativa B está correta.
· 
· A análise ou estimativa de riscos faz parte da etapa de processo de avaliação deles. Os objetivos desta etapa são identificar os riscos e definir o que deve ser feito para diminui-los até um nível aceitável. Esta tabela mostra o levantamento realizado na etapa de identificação deles. Após isso, é possível realizar sua estimativa e avaliação.
· Parte superior do formulário
· 1. O Plano de Continuidade de Negócios (PCN) descreve como a empresa deve atuar diante da identificação das ameaças e dos impactos nas operações a fim de garantir a preservação do negócio. Portanto, ele é essencial para a minimização das possíveis perdas. Nesse sentido, é correto afirmar sobre o PCN que:
· 
· É um processo corretivo.
· 
· É um processo preventivo.
· 
· Apenas profissionais de determinados segmentos da organização devem participar da sua elaboração.
· 
· Nem sempre é necessário, pois é rara a ocorrência de desastres.
· Parte inferior do formulário
· Comentário
· Parabéns! A alternativa "B" está correta.
· 
· Por se tratar de um plano, é imprescindível a sua elaboração prévia, além da realização de treinamentos com as pessoas envolvidas nas ações a serem executadas, caso seja necessária sua aplicação.
· Parte superior do formulário
· 2. O processo de elaboração do Plano de Continuidade de Negócios (PCN) de uma organização é complexo. Nesse sentido, selecione a opção correta a respeito do PCN:
· 
· Depois de elaborado, não é necessário fazer revisões.
· 
· É importante para o bem-estar dos membros da organização, mas não tem impacto financeiro concreto.
· 
· Deve passar por revisões periodicamente para adequar-se a novos cenários.
· 
· Como faz parte da estratégia da organização, apenas poucos membros devem ter acesso a ele.
· Parte inferior do formulário
· Comentário
· Parabéns! A alternativa "C" está correta.
· 
· Devido à característica dinâmica dos diversos cenários aos quais a organização é exposta e ao modo como evolui a maturidade dos processos para tratar tais cenários, o PCN deve ser revisto periodicamente.
· Parte superior do formulário
· 1. O modelo PDCA (Plan-Do-Check-Act) é focado na melhoria contínua dos processos de uma organização. Selecione a opção que apresenta, resumidamente, como ele atinge seu objetivo:
· 
· Faz um mapeamento minucioso das unidades de negócios e, a partir disso, descreve detalhadamente como os processos devem ser realizados.
· 
· A partir da análise dos desvios do comportamento de um processo com as suas metas predefinidas, direciona quais medidas corretivas devem ser adotadas.
· 
· Define as melhores estratégias para o negócio da organização.
· 
· Faz a documentação dos planos da organização baseado nos melhores padrões de mercado.
· Parte inferior do formulário
· Comentário
· Parabéns! A alternativa "B" está correta.
· 
· O PDCA é um modelo que considera a dinâmica em que os processos estão inseridos e como são compreendidos pelos responsáveis das organizações. A melhoria contínua é obtida a partir do mapeamento dos processos do negócio e da avaliação da sua execução.
· Parte superior do formulário
· 2. O Plano de Recuperação de Desastres (PRD) é um documento que define os recursos, as ações, as tarefas e os dados requeridos para administrar o processo de recuperação e de restauração dos componentes que suportam os Processos de Negócio. Selecione a opção correta em relação ao PRD:
· 
· Trata de ações a longo prazo.
· 
· Como trata de situações emergenciais, não há como medir a efetividade do seu desempenho.
· 
· O ponto objetivo de recuperação é a quantidade mínima de dados que uma organização está disposta a perder, caso ocorra um desastre.
· 
· O tempo objetivo de recuperação é o período máximo que uma organização está disposta a permitir até a retomada das suas atividades no caso de um desastre.
· Parte inferior do formulário
· Comentário
· Parabéns! A alternativa "D" está correta.
· 
· O PRD é um componente do PCN. Dado um cenário de desastre, a ideia é aumentar as chances de a organização retomar as suas operações dentro de um período mínimo, previamente estabelecido.
· Parte superior do formulário
· 1. Qual o propósito da Política de Gestão de Continuidade de Negócios (PGCN)?
· 
· Definir funções e responsabilidades das equipes envolvidas com o acionamento das ações de contingência antes, durante e após a ocorrência.
· 
· Determinar o planejamento para que, uma vez controlada a contingência e passada a crise, a empresa retome seus níveis originais de operação.
· 
· Restabelecer o funcionamento dos principais ativos que suportam as operações de uma organização, reduzindo o tempo de queda e os impactos provocados por um eventual incidente.
· 
· Fornecer uma base para que se possa entender, desenvolver e implementar a continuidade de negócios em uma organização.
· Parte inferior do formulário
· Comentário
· Parabéns! A alternativa "D" está correta.
· 
· A PGCN é o conjunto dos processos e das atividades que uma organização deve ter para poder minimizar as perdas caso ocorra um desastre. Portanto, ela é essencial para garantir a continuidade dos negócios de uma organização.
· Parte superior do formulário
· 2. A respeito do Gerenciamento de Continuidade na biblioteca ITIL, é correto afirmar que:
· 
· Concentra-se no alinhamento de serviços de TI com as necessidades dos negócios.
· 
· Tem os mesmos objetivos do Plano de Continuidade de Negócios.
· 
· Concentra-se, principalmente, nos aspectos físicos da organização que são essenciais para dar continuidade aos negócios.
· 
· Sua eficácia está vinculada ao uso da tecnologia utilizada pela organização.
· Parte inferior do formulário
· Comentário
· Parabéns! A alternativa "A" está correta.
· 
· A biblioteca ITIL dá suporte para que as organizações atinjam seus objetivos alinhados com os serviços de tecnologia da informação mediante descrição das diversas etapas do ciclo de vida deles.
		1.
		Assinale a assertiva que representa um dos benefícios para a adoção da norma ABNT NBR ISO/IEC 27001:2013 por uma organização
	
	
	
	Isola recursos com outros sistemas de gerenciamento
	
	
	Não participação da gerência na Segurança da Informação
	
	
	Mecanismo para eliminar o sucesso do sistema
	
	
	Fornece insegurança a todas as partes interessadas
	
	
	Oportunidade de identificar eliminar fraquezas 
	
Explicação:
.
	
	
	 
		
	
		2.
		(IF-PE - 2019 - IF-PE - Técnico em Laboratório - Manutenção e Suporte em Informática) Os malwares executam ações danosas, programadas e desenvolvidas para esse fim em um computador. Abaixo, apresentam-se diversas formas de infectar ou comprometer um computador através de códigos maliciosos, exceto:
	
	
	
	pelo encaminhamento de arquivos .txt pela interface de rede do computador
	
	
	pelo acesso a páginas web maliciosas, utilizando navegadores vulneráveis
	
	
	pela execução automática de mídias removíveis infectadas
	
	
	pela execução de arquivos previamente infectados
	
	
	pela exploração de vulnerabilidades existentes nos programas instalados
	
Explicação:
Modulo 2
	
	
	 
		
	
		3.
		(FUNDATEC - 2019 - Prefeitura de Gramado - RS - Analista de Sistema) Em relação a códigos maliciosos (malwares), analise as assertivas a seguir:
I. Vírus é uma categoria de malware que pode ser infectado através de pen drives e outros dispositivos, porém não pode ser propagado por e-mail.
II. Um worm é capaz de se propagar automaticamente em redes de computadores e não se propaga por meio da inclusão de cópias de si mesmo em outros programas.
III. Um computador denominado zumbi é aquele que pode ser controlado remotamente, sem o conhecimento do seu dono.
IV. Spyware é um programa que pode ser utilizado apenas de forma maliciosa, não sendo permitida a utilização de forma legítima.
Quais estão corretas?
	
	
	
	Apenas II e III
	
	
	Apenas I e II
	
	
	Apenas II, III e IV
	
	
	I, II, III e IVApenas III e IV
	
Explicação:
.
	
	
	 
		
	
		4.
		Sobre os conceitos inerentes à norma ISO/IEC 27001, analise as assertivas abaixo.
 
I. Um processo definido para validar, implementar, manter e gerenciar a segurança da informação.
II. Uma metodologia estruturada reconhecida internacionalmente dedicada à segurança da informação.
III. Uma metodologia de avaliação de equipamento.
IV. Desenvolvido pelas empresas para as empresas.
Pode-se dizer que estão corretas somente:
	
	
	
	I, II e III
	
	
	I e IV
	
	
	III
	
	
	II e IV
	
	
	I, II e IV
	
Explicação:
A ISO/IEC 27001 é a norma que define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI),sendo a principal norma que uma organização deve utilizar como base para obter a certificação empresarial em gestão da segurança da informação. 
Neste contexto não é considerada como uma metodoloigia de avaliação de equipamentos.
	
	
	 
		
	
		5.
		A norma ISO/IEC 27001, em conjunto com a norma ISO/IEC 27002 (Código de Boas Práticas da Gestão da Segurança da Informação), formam as principais referências, atualmente, para quem procura tratar a questão da segurança da informação de maneira eficiente e com eficácia. Qual das alternativas abaixo  corresponde à abordagem ISO/IEC 27001 ?
	
	
	
	Um padrão técnico.
	
	
	Um produto ou tecnologia dirigida.
	
	
	Um grupo detalhado de controles compreendidos das melhores práticas da segurança da informação.
	
	
	Uma metodologia de avaliação de equipamentos.
	
	
	Um serviço desenvolvido pelos governos para as empresas.
	
Explicação:
A ISO/IEC 27001 é uma norma e não poderia ser considerada como: uma metodologia, um produto, um serviço ou um padrão. Sendo considerada como um grupo detalhado de controles compreendidos das melhores práticas da segurança da informação.
	
	
	 
		
	
		6.
		"O acesso é atribuído pelo administrador do sistema e é estritamente baseado na função do sujeito dentro da família ou organização e a maioria dos privilégios se baseia nas limitações definidas pelas responsabilidades do trabalho". Selecione a opção que corresponde a esse tipo de controle de acesso:
	
	
	
	Controle de acesso obrigatório (MAC).
	
	
	Controle baseado em papéis (RBAC).
	
	
	Controle de acesso discricionário (DAC).
	
	
	Controle de acesso segregado (SAC).
	
	
	Controle de acesso total (TAC).
	
Explicação:
Questão enviada pela EAD para inserção.
	
	
	 
		
	
		7.
		Um ataque de negação de serviço tenta afetar a disponibilidade de um ativo inundando, por exemplo, um servidor de aplicação em rede com mais dados do que é capaz de processar por unidade de tempo.
Se, dentro do domínio do servidor, existir uma ferramenta que reaja a um ataque de negação de serviço, ela será classificada como uma medida de controle:
	
	
	
	Limitadora
	
	
	Recuperadora
	
	
	Reativa
	
	
	Detectora
	
	
	Preventiva
	
Explicação:
Questão enviada pela EAD para inserir direto no sistema.
	
	
	 
		
	
		8.
		Selecione a opção que contenha os pilares de um negócio:
	
	
	
	Componentes, planos de continuidade e de recuperação de desastre.
	
	
	Tecnologia da Informação, Recursos Humanos e Infraestrutura interna.
	
	
	Plano de Contingência,  Plano de Recuperação de Desastres e Plano de Continuidade Operacional.
	
	
	ITIL, PDCA (Plan-Do-Check-Act) e PCN (Plano de Continuidade).
	
	
	Unidades, processos e componentes de negócios e ativos.
	
Explicação:
.
	
	
	 
		
	
		9.
		O Plano de Continuidade de Negócios (PCN), determinado pela norma ABNT NBR 15999 Parte 1, visa contemplar importantes aspectos, dentre os quais observamos subsequentemente:
I. O Plano de Continuidade de Negócios (PCN) descreve como a empresa deve atuar diante da identificação das ameaças e dos impactos nas operações a fim de garantir a preservação do negócio.
II. O Plano de Continuidade de Negócios (PCN) visa maximizar os problemas advindos das interrupções nas atividades de negócios e proteger os processos críticos dos defeitos de grandes falhas ou desastres.
III. O Plano de Continuidade de Negócios (PCN) tem como objetivo estabelecer as diretrizes e as responsabilidades a serem observadas no Sistema de Gestão de Continuidade de Negócios.
IV. O Plano de Continuidade de Negócios (PCN) visa especificar as ameaças e riscos identificados na organização e analisar os impactos no negócio, caso eles se concretizem.
 
Após a leitura, analise as asserções acima e, a seguir, assinale a alternativa correta:
	
	
	
	Somente as asserções II e IV estão corretas;
	
	
	Somente as asserções I, II e III estão corretas;
	
	
	Somente as asserções III e IV estão corretas.
	
	
	Somente as asserções I, III e IV estão corretas
	
	
	Somente as asserções I, II e IV estão corretas;
	
Explicação:
O Plano de Continuidade de Negócios (PCN) é o processo de gestão da capacidade de uma organização de conseguir manter um nível de funcionamento adequado até o retorno à situação normal, após a ocorrência de incidentes e interrupções de negócios críticos. O PCN deve ser desenvolvido preventivamente a partir de um conjunto de estratégias e planos táticos capazes de permitir o planejamento e a garantia dos serviços essenciais, devidamente identificados e preservados. Este processo orienta e define como e quais ações devem ser executadas para que se construa uma resiliência organizacional1 capaz de responder efetivamente e salvaguardar os negócios.
O PCN tem como objetivo especificar as ameaças e riscos identificados na organização e analisar os impactos no negócio, caso essas ameaças se concretizem. Visa com isso tornar possível seu funcionamento em um nível aceitável nas situações de contingência2, resguardando os interesses dos intervenientes, a reputação, a imagem da organização e suas atividades fim de significativo valor agregado.
	
	
	 
		
	
		10.
		Em relação à biblioteca ITIL (Information Technology Infrastructure Library), selecione a opção correta:
	
	
	
	Aborda todas as necessidades dos negócios da empresa.
	
	
	Concentra-se no alinhamento de serviços de TI com as necessidades dos negócios
	
	
	Junto com o plano de recuperação de desastres, tem um papel reativo quando ocorrem problemas.
	
	
	É aplicada apenas no plano de continuidade dos negócios.
	
	
	Não pode ser aplicada em nenhum aspecto do plano de continuidade dos negócios.
	
Parte inferior do formulário
Parte inferior do formulário