Simulado EXIN PDF

EXIN Fundamentos da Segurana da
Informao
baseados na norma ISO/IEC 27002
Exame simulado
Edio Junho 2016
Copyright 2016 EXIN

All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system
or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN.
Exame simulado EXIN Fundamentos da Segurana da

Informao baseados na norma ISO/IEC 27002 (ISFS.PR)
Contedo
Introduo
Exame simulado
Gabarito de respostas
15
Avaliao
34

Introduo
Este o exame simulado de EXIN Fundamentos da Segurana da Informao baseados na norma
ISO/IEC 27002. As regras e regulamentos do exame do EXIN se aplicam a este exame.
Este exame simulado consiste de 40 questes de mltipla escolha. Cada questo de mltipla
escolha possui um certo nmero de alternativas de resposta, entre as quais apenas uma resposta
a correta.
O nmero mximo de pontos que pode ser obtido neste exame 40. Cada resposta correta vale
um ponto. Para passar voc deve obter 26 pontos ou mais.
O tempo permitido para este exame de 60 minutos.
Boa Sorte!

Exame simulado
1 de 40
Qual a relao entre dados e informaes?
A. Dados so informaes estruturadas
B. Informaes so o significado e o valor atribudos a uma coleo de dados
2 de 40
A fim de ter uma aplice de seguro de incndio, o departamento administrativo deve determinar o
valor dos dados que gerencia.
Qual fator no importante para determinar o valor dos dados para uma organizao?
A. O contedo dos dados.
B. O grau em que, dados ausentes incompletos ou incorretos podem ser recuperados.
C A indispensabilidade dos dados para os processos de negcio.
D Importncia dos processos de negcios que fazem uso dos dados.
3 de 40
Um hacker obtm acesso a um servidor Web e pode exibir um arquivo no servidor que contm
nmeros de carto de crdito.
Quais princpios de confidencialidade, integridade e disponibilidade (CIA) do arquivo de carto de
crdito so violados?
A. Disponibilidade
B. Confidencialidade
C. Integridade
4 de 40
Existe uma impressora de rede no corredor da empresa onde voc trabalha. Muitos funcionrios
no vo pegar suas impresses imediatamente e deixam o material na impressora.
Quais so as consequncias disto com relao confiabilidade das informaes?
A. A integridade das informaes no pode mais ser garantida
B. A disponibilidade das informaes no pode mais ser garantida
C. A confidencialidade das informaes no pode mais ser garantida

5 de 40
Uma anlise de risco bem executada oferece uma grande quantidade de informaes teis. A
anlise de risco tem quatro principais objetivos.
Qual das opes abaixo no um dos quatro principais objetivos da anlise de risco?
A. Identificao dos ativos e seus valores
B. Implementao de contramedidas
C. Estabelecimento do equilbrio entre os custos de um incidente e os custos de medidas de
segurana
D Determinao de vulnerabilidades e ameaas relevantes
6 de 40
Um departamento administrativo vai determinar os riscos aos quais est exposto.
Como denominamos um possvel evento que possa comprometer a confiabilidade da informao?
A. Dependncia
B. Ameaa
C. Vulnerabilidade
D Risco
7 de 40
Qual o propsito do gerenciamento de risco?
A. Determinar a probabilidade de ocorrncia de um certo risco.
B. Determinar os danos causados por possveis incidentes de segurana.
C. Delinear as ameaas a que esto expostos os recursos de TI.
D. Utilizar medidas para reduzir os riscos para um nvel aceitvel.
8 de 40
H alguns anos voc comeou sua empresa, que j cresceu de 1 para 20 empregados. As
informaes de sua empresa valem mais e mais e j passaram os dias em que voc podia manter
tudo em suas prprias mos. Voc est ciente de que precisa tomar medidas, mas quais? Voc
contrata um consultor, que o aconselha a comear com uma anlise de risco qualitativa.
O que uma anlise de risco qualitativa?
A. Esta anlise segue um clculo preciso de probabilidade estatstica a fim de calcular a exata
perda causada pelo dano
B. Esta anlise baseada em cenrios e situaes e produz uma viso subjetiva de possveis
ameaas

9 de 40
Houve um incndio em uma filial da companhia Midwest Insurance. Os bombeiros chegaram
rapidamente ao local e puderam apagar o fogo antes que se espalhasse e queimasse toda a
instalao. O servidor, entretanto, foi destrudo pelo fogo. As fitas de segurana (backup) mantidas
em outra sala derreteram e muitos outros documentos foram perdidos definitivamente.
Qual um exemplo de dano indireto causado pelo incndio?
A. Fitas de segurana (backup) derretidas
B. Sistemas de computao queimados
C. Documentos queimados
D. Danos provocados pela gua dos extintores de incndio
10 de 40
Voc o proprietrio de uma companhia de correio (courier), SpeeDelivery. Voc realizou uma
anlise de risco e agora quer determinar sua estratgia de risco. Voc decide tomar medidas
contra os grandes riscos, mas no contra os pequenos riscos.
Como chamada a estratgia de risco adotada neste caso?
A. Reteno de risco
B. Preveno de risco
C. Reduo de risco
11 de 40
O que um exemplo de uma ameaa humana?
A. Um pen drive que passa vrus para a rede.
B. Muito p na sala do servidor.
C. Uma fuga de energia que causa uma falha no fornecimento de eletricidade.
12 de 40
A. Um relmpago
B. Fogo
C. Phishing

13 de 40
Voc trabalha no escritrio de uma grande companhia. Voc recebe um telefonema de uma
pessoa dizendo ser do helpdesk. Ela pede para que voc lhe diga sua senha.
Que tipo de ameaa esta?
A. Ameaa natural
B. Ameaa organizacional
C. Engenharia social
14 de 40
Um incndio interrompe os trabalhos da filial de uma empresa de seguros de sade. Os
funcionrios so transferidos para escritrios vizinhos para continuar seu trabalho.
No ciclo de vida do incidente, onde so encontrados os acordos stand-by (plano de contingncia)?
A. Entre a ameaa e o incidente
B. Entre a recuperao e a ameaa
C. Entre os danos e a recuperao
D. Entre o incidente e os danos
15 de 40
Informaes envolvem inmeros aspectos de confiabilidade, a qual constantemente
ameaada. Exemplos de ameaas so: um cabo se soltar, informaes alteradas por acidente,
dados que so usados para fins particulares ou falsificados.
Qual destes exemplos uma ameaa integridade?
A. Um cabo solto
B. Excluso acidental de dados
C. Utilizao privada de dados
16 de 40
Um funcionrio nega o envio de uma mensagem especfica.
Qual o aspecto de confiabilidade da informao est em risco aqui?
A. Disponibilidade
B. Exatido
C. Integridade
D. Confidencialidade

17 de 40
Qual a melhor maneira de descrever o objetivo da poltica de segurana da informao?
A. A poltica documenta a anlise de riscos e a busca de contramedidas.
B. A poltica fornece orientao e apoio gesto em matria de segurana da informao.
C. A poltica torna o plano de segurana concreto, fornecendo-lhe os detalhes necessrios.
D. A poltica fornece percepes sobre as ameaas e as possveis consequncias.
18 de 40
Um incidente de segurana relacionado com um servidor Web relatado a um funcionrio do
helpdesk. Sua colega tem mais experincia em servidores Web; ento, ele transfere o caso para
ela.
Qual termo descreve essa transferncia?
A. Escalonamento funcional
B. Escalonamento hierrquico
19 de 40
Uma funcionria trabalhador de uma companhia de seguros descobre que a data de validade de
uma poltica foi alterada sem seu conhecimento. Ela a nica pessoa autorizada a fazer isso. Ela
relata este incidente de segurana ao helpdesk. O atendente do helpdesk registra as seguintes
informaes sobre este incidente:
- data e hora
- descrio do incidente
- possveis consequncias do incidente
Qual a informao mais importante sobre o incidente est faltando aqui?
A. O nome da pessoa que denunciou o incidente
B. O nome do pacote de software
C. O nmero do PC
D. Uma lista de pessoas que foram informadas sobre o incidente
20 de 40
No ciclo de incidente h quatro etapas sucessivas.
Qual a etapa que sucede o incidente?
A. Ameaa
B. Dano
C. Recuperao

21 de 40
Qual das seguintes medidas uma medida preventiva?
A. Instalao de um sistema de registro de eventos (log) que permite que mudanas em um
sistema sejam reconhecidas
B. Desativao de todo trfego internet depois que um hacker ganhou acesso aos sistemas da
companhia
C. Armazenamento de informaes sigilosas em um cofre
22 de 40
Qual das opes abaixo uma medida repressiva em caso de incndio?
A. Fazer um seguro contra incndio
B. Apagar o fogo depois que o incndio for detectado pelo detector de incndio
C. Reparar os danos causados pelo incndio
23 de 40
Qual o objetivo da classificao da informao?
A. Criar um manual sobre como manusear dispositivos mveis
B. Aplicar identificaes que facilitem o reconhecimento das informaes
C. Estruturar as informaes de acordo com sua confidencialidade
24 de 40
Quem autorizado a mudar a classificao de um documento?
A. O autor do documento
B. O administrador do documento
C. O proprietrio do documento
D. O gerente do proprietrio do documento
25 de 40
O acesso sala de computadores est bloqueado por um leitor de crachs. Somente o
Departamento de Gerenciamento de Sistemas tem um crach.
Que tipo de medida de segurana essa?
A. Uma medida de segurana corretiva
B. Uma medida de segurana fsica
C. Uma medida de segurana lgica
D. Uma medida de segurana repressiva

10
26 de 40
A autenticao forte necessria para acessar reas altamente protegidas. Em caso de
autenticao forte a identidade de uma pessoa verificada atravs de trs fatores.
Qual fator verificado quando preciso mostrar um crach de acesso?
A. Algo que voc
B. Algo que voc tem
C. Algo que voc sabe
27 de 40
Na segurana fsica, mltiplas zonas em expanso (anis de proteo) podem ser aplicadas, nas
quais diferentes medidas podem ser adotadas.
O que no um anel de proteo?
A. Edifcio
B. Anel mdio
C. Objeto
D. Anel externo
28 de 40
Qual das ameaas listadas abaixo pode ocorrer como resultado da ausncia de uma medida de
segurana fsica?
A. Um usurio pode ver os arquivos pertencentes a outro
B. Um servidor desligado por causa de superaquecimento
C. Um documento confidencial deixado na impressora
D. Hackers podem entrar livremente na rede de computadores
29 de 40
Qual das seguintes medidas de segurana uma medida tcnica?
A. Atribuio de informaes a um proprietrio
B. Criptografia de arquivos
C. Criao de uma poltica que define o que e no permitido no e-mail
D. Armazenamento de senhas de gerenciamento do sistema em um cofre

11
30 de 40
As cpias de segurana (backup) do servidor central so mantidas na mesma sala fechada que o
servidor.
Que risco a organizao enfrenta?
A. Se o servidor falhar, levar um longo tempo antes que o servidor esteja novamente em
funcionamento.
B. Em caso de incndio, impossvel recuperar o sistema ao seu estado anterior.
C. Ningum responsvel pelos backups.
D. Pessoas no autorizadas tm acesso fcil aos backups.
31 de 40
Que tipo de malware cria uma rede de computadores contaminados?
A. Bomba Lgica
B. Storm Worm ou Botnet
C. Cavalo de Troia
D. Spyware
32 de 40
Em uma organizao, o agente de segurana detecta que a estao de trabalho de um funcionrio
est infectada com software malicioso. O software malicioso foi instalado como resultado de um
ataque direcionado de phishing.
Qual ao a mais benfica para evitar esses incidentes no futuro?
A. Implementar a tecnologia MAC
B. Iniciar um programa de conscientizao de segurana
C. Atualizar as regras do firewall
D. Atualizar as assinaturas do filtro de spam

12
33 de 40
Voc trabalha no departamento de TI de uma empresa de tamanho mdio. Informaes
confidenciais tm cado em mos erradas por vrias vezes. Isso tem prejudicado a imagem da
companhia. Voc foi solicitado a propor medidas de segurana organizacional em laptops para sua
companhia.
Qual o primeiro passo que voc deveria dar?
A. Formular uma poltica para tratar da segurana de dispositivos mveis (PDAs, laptops,
smartphones, pen drive)
B. Designar uma equipe de segurana
C. Criptografar os discos rgidos dos laptops e mdias de armazenamento externo, como pen
drives
D. Estabelecer uma poltica de controle de acesso
34 de 40
Qual o nome do sistema que garante a coerncia da segurana da informao na organizao?
A. Sistema de Gesto de Segurana da Informao (SGSI)
B. Rootkit
C. Regulamentos de segurana para informaes especiais do governo.
35 de 40
Como se chama o processo de definir se a identidade de algum correta?
A. Autenticao
B. Autorizao
C. Identificao
36 de 40
Por que necessrio manter um plano de recuperao de desastres atualizados e test-lo
regularmente?
A. A fim de sempre ter acesso s cpias de segurana (backups) recentes, que esto localizadas
fora do escritrio
B. Para ser capaz de lidar com as falhas que ocorrem diariamente
C. Porque, de outra forma, na eventualidade de uma grande interrupo, as medidas tomadas e
os procedimentos previstos podem no ser adequados ou podem estar desatualizados.
D. Porque isso exigido pela Lei de Proteo de Dados Pessoais

13
37 de 40
Com base em qual legislao algum pode pedir para inspecionar seus dados pessoais que
tenham sido registrados (em pases onde a lei aplicvel)?
A. A Lei de Registros Pblicos
B. A Lei de Proteo de Dados Pessoais
C. A Lei de Crimes de Informtica
D. A Lei de Acesso Pblico a Informaes do Governo
38 de 40
Qual a legislao ou ato regulatrio relacionado segurana da informao que pode ser
imposto a todas as organizaes (em pases onde a lei aplicvel)?
A. Direito de Propriedade Intelectual
B. ISO/IEC 27001:2013
C. ISO/IEC 27002:2013
D. Legislao de proteo de dados pessoais
39 de 40
Voc o proprietrio de uma companhia de correio (courier), SpeeDelivery. Voc emprega
algumas pessoas que, enquanto esperam para fazer as entregas, podem realizar outras tarefas.
Voc percebe, no entanto, que eles usam esse tempo para enviar e ler seus e-mails particulares e
navegar na Internet.
Em termos legais, de que forma o uso da internet e do e-mail pode ser melhor regulado?
A. Instalando um aplicativo que impea o acesso a certos sites da Internet e que realizem
filtragem em arquivos anexados a e-mails
B. Elaborando um cdigo de conduta para o uso da internet e do e-mail, no qual os direitos e
obrigaes tanto do empregador quanto dos empregados estejam claramente declarados
C. Implementando normas de privacidade
D. Instalando rastreadores de vrus
40 de 40
Em quais condies permitido a um empregador verificar se os servios de Internet e e-mail no
ambiente de trabalho esto sendo utilizados para finalidades pessoais?
A. O empregador poder fazer essa verificao, se o funcionrio for informado depois de cada
sesso de verificao
B. O empregador poder fazer essa verificao se os funcionrios forem informados que isso
pode acontecer
C. O empregador poder fazer essa verificao se um firewall tambm estiver instalado

14
Gabarito de respostas
1 de 40
Qual a relao entre dados e informaes?
A. Dados so informaes estruturadas
B. Informaes so o significado e o valor atribudos a uma coleo de dados
A. Incorreto. Informaes so dados estruturados.
B. Correto. Informaes so dados que tm um significado em algum contexto para seu receptor.
(Captulo 3)
2 de 40
A fim de ter uma aplice de seguro de incndio, o departamento administrativo deve determinar o
valor dos dados que gerencia.
Qual fator no importante para determinar o valor dos dados para uma organizao?
A. O contedo dos dados.
B. O grau em que, dados ausentes incompletos ou incorretos podem ser recuperados.
C A indispensabilidade dos dados para os processos de negcio.
D Importncia dos processos de negcios que fazem uso dos dados.
A. Correto. O contedo dos dados no determina o seu valor. (Captulo 4)
B. Incorreto. Dados ausentes, incompletos ou incorretos que podem ser facilmente recuperados
so menos valiosos do que os dados que so difceis ou impossveis de recuperar.
C. Incorreto. A indispensabilidade dos dados para os processos de negcios, em parte, determina
o valor.
D. Incorreto. Dados crticos para os processos importantes de negcio so, consequentemente,
valiosos.

15
3 de 40
Um hacker obtm acesso a um servidor Web e pode exibir um arquivo no servidor que contm
nmeros de carto de crdito.
Quais princpios de confidencialidade, integridade e disponibilidade (CIA) do arquivo de carto de
crdito so violados?
A. Disponibilidade
B. Confidencialidade
C. Integridade
A. Incorreto. O hacker no excluiu o arquivo nem negou acesso a entidades autorizadas, de forma
alguma; portanto, a disponibilidade no foi prejudicada.
B. Correto. O hacker conseguiu ler o arquivo (confidencialidade). (Captulo 3)
C. Incorreto. No houve nenhuma informao alterada no arquivo de carto de crdito; portanto, a
integridade do arquivo no foi violada.
4 de 40
Existe uma impressora de rede no corredor da empresa onde voc trabalha. Muitos funcionrios
no vo pegar suas impresses imediatamente e deixam o material na impressora.
Quais so as consequncias disto com relao confiabilidade das informaes?
A. A integridade das informaes no pode mais ser garantida
B. A disponibilidade das informaes no pode mais ser garantida
C. A confidencialidade das informaes no pode mais ser garantida
A. Incorreto. A integridade das informaes continua garantida, pois o material est impresso em
papel.
B. Incorreto. As informaes continuam disponveis no sistema utilizado para criar e imprimi-las.
C. Correto. As informaes podem acabar sendo lidas por pessoas que no deveriam ter acesso a
elas. (Captulo 3)

16
5 de 40
Uma anlise de risco bem executada oferece uma grande quantidade de informaes teis. A
anlise de risco tem quatro principais objetivos.
Qual das opes abaixo no um dos quatro principais objetivos da anlise de risco?
A. Identificao dos ativos e seus valores
B. Implementao de contramedidas
C. Estabelecimento do equilbrio entre os custos de um incidente e os custos de medidas de
segurana
D Determinao de vulnerabilidades e ameaas relevantes
A. Incorreto. Este um dos principais objetivos de uma anlise de risco.
B. Correto. Este no um objetivo de uma anlise de risco. possvel selecionar medidas quando
em uma anlise de risco se determina quais riscos exigem uma medida de segurana
Captulo 3)
C. Incorreto. Este um dos principais objetivos de uma anlise de risco.
D. Incorreto. Este um dos principais objetivos de uma anlise de risco.
6 de 40
Um departamento administrativo vai determinar os riscos aos quais est exposto.
Como denominamos um possvel evento que possa comprometer a confiabilidade da informao?
A. Dependncia
B. Ameaa
C. Vulnerabilidade
D Risco
A. Incorreto. A dependncia no um evento.
B. Correto. A ameaa um evento possvel que pode comprometer a confiabilidade da informao.
(Captulo 3)
C. Incorreto. A vulnerabilidade o grau em que um objeto est suscetvel a uma ameaa.
D. Incorreto. Um risco o prejuzo mdio esperado durante um perodo de tempo como resultado
de uma ou mais ameaas que levam a um comprometimento.

17
7 de 40
Qual o propsito do gerenciamento de risco?
A. Determinar a probabilidade de ocorrncia de um certo risco.
B. Determinar os danos causados por possveis incidentes de segurana.
C. Delinear as ameaas a que esto expostos os recursos de TI.
D. Utilizar medidas para reduzir os riscos para um nvel aceitvel.
A. Incorreto. Isso faz parte da anlise de risco.
B. Incorreto. Isso faz parte da anlise de risco.
C. Incorreto. Isso faz parte da anlise de risco.
D. Correto. O objetivo do gerenciamento de risco o de reduzir os riscos para um nvel aceitvel.
(Captulo 3)
8 de 40
H alguns anos voc comeou sua empresa, que j cresceu de 1 para 20 empregados. As
informaes de sua empresa valem mais e mais e j passaram os dias em que voc podia manter
tudo em suas prprias mos. Voc est ciente de que precisa tomar medidas, mas quais? Voc
contrata um consultor, que o aconselha a comear com uma anlise de risco qualitativa.
O que uma anlise de risco qualitativa?
A. Esta anlise segue um clculo preciso de probabilidade estatstica a fim de calcular a exata
perda causada pelo dano
B. Esta anlise baseada em cenrios e situaes e produz uma viso subjetiva de possveis
ameaas
A. Incorreto. Em uma anlise de risco quantitativa, realiza-se uma tentativa de determinar
numericamente as probabilidades de vrios eventos e a extenso provvel das perdas se
determinado evento ocorrer.
B. Correto. Uma anlise de risco qualitativa envolve a definio de diversas ameaas,
determinando a extenso das vulnerabilidades e elaborando contramedidas, caso ocorra um
ataque. (Captulo 3)

18
9 de 40
Houve um incndio em uma filial da companhia Midwest Insurance. Os bombeiros chegaram
rapidamente ao local e puderam apagar o fogo antes que se espalhasse e queimasse toda a
instalao. O servidor, entretanto, foi destrudo pelo fogo. As fitas de segurana (backup) mantidas
em outra sala derreteram e muitos outros documentos foram perdidos definitivamente.
Qual um exemplo de dano indireto causado pelo incndio?
A. Fitas de segurana (backup) derretidas
B. Sistemas de computao queimados
C. Documentos queimados
D. Danos provocados pela gua dos extintores de incndio
A. Incorreto. Fitas derretidas de backup so danos diretos causados pelo fogo.
B. Incorreto. Sistemas de computador queimados so danos diretos causados pelo fogo.
C. Incorreto. Documentos queimados so danos diretos causados pelo fogo.
D. Correto. Danos provocados pela gua em funo dos extintores de incndio so danos indiretos
causados pelo fogo. Este um efeito colateral de apagar o fogo, que visa minimizar os danos
causados pelo fogo. (Captulo 3)
10 de 40
Voc o proprietrio de uma companhia de correio (courier), SpeeDelivery. Voc realizou uma
anlise de risco e agora quer determinar sua estratgia de risco. Voc decide tomar medidas
contra os grandes riscos, mas no contra os pequenos riscos.
Como chamada a estratgia de risco adotada neste caso?
A. Reteno de risco
B. Preveno de risco
C. Reduo de risco
A. Correto. Isso significa que certos riscos so aceitos (Captulo 3)
B. Incorreto. Isso significa que medidas so adotadas para que a ameaa seja neutralizada a tal
ponto que j no provoque um incidente
C. Incorreto. Isso significa que medidas de segurana so adotadas para que as ameaas j no
se manifestem ou, se isso acontecer, os danos resultantes sejam minimizados.

19
11 de 40
A. Um pen drive que passa vrus para a rede.
B. Muito p na sala do servidor.
C. Uma fuga de energia que causa uma falha no fornecimento de eletricidade.
A. Correto. Um pen drive que passa vrus para a rede sempre inserido por uma pessoa. Desta
forma, um vrus que entra na rede, por esse meio uma ameaa human. (Captulo 3)
B. Incorreto. A poeira no uma ameaa humana.
C. Incorreto. A falha de energia eltrica no uma ameaa humana.
12 de 40
A. Um relmpago
B. Fogo
C. Phishing
A. Incorreto. Um relmpago um exemplo de uma ameaa no humana
B. Incorreto. O fogo um exemplo de uma ameaa no humana
C. Correto. Phishing (atrair usurios para sites falsos) uma forma de ameaa humana.
(Captulo 3)
13 de 40
Voc trabalha no escritrio de uma grande companhia. Voc recebe um telefonema de uma
pessoa dizendo ser do helpdesk. Ela pede para que voc lhe diga sua senha.
Que tipo de ameaa esta?
A. Ameaa natural
B. Ameaa organizacional
C. Engenharia social
A. Incorreto. Uma chamada telefnica uma ao humana; portanto, no uma ameaa natural.
B. Incorreto. O termo ameaa organizacional no um termo comum para um tipo de ameaa.
C. Correto. O uso de expresses ou nomes corretos de pessoas conhecidas e seus departamentos
d a impresso de que um colega tentando obter segredos da empresa e segredos comerciais.
Voc deve verificar se est realmente falando com o helpdesk. Um funcionrio do helpdesk jamais
solicitar sua senha. (Captulo 3)

20
14 de 40
Um incndio interrompe os trabalhos da filial de uma empresa de seguros de sade. Os
funcionrios so transferidos para escritrios vizinhos para continuar seu trabalho.
No ciclo de vida do incidente, onde so encontrados os acordos stand-by (plano de contingncia)?
A. Entre a ameaa e o incidente
B. Entre a recuperao e a ameaa
C. Entre os danos e a recuperao
D. Entre o incidente e os danos
A. Incorreto. A realizao de um acordo stand-by sem que primeiro haja um incidente muito cara.
B. Incorreto. A recuperao ocorre aps o acordo stand-by entrar em vigor.
C. Incorreto. Os danos e a recuperao so realmente limitados pelo acordo stand-by.
D. Correto. Um acordo stand-by uma medida corretiva iniciada a fim de limitar os danos.
(Captulo 3)
15 de 40
Informaes envolvem inmeros aspectos de confiabilidade, a qual constantemente
ameaada. Exemplos de ameaas so: um cabo se soltar, informaes alteradas por acidente,
dados que so usados para fins particulares ou falsificados.
Qual destes exemplos uma ameaa integridade?
A. Um cabo solto
B. Excluso acidental de dados
C. Utilizao privada de dados
A. Incorreto. Um cabo solto uma ameaa para a disponibilidade de informaes.
B. Correto. A alterao no intencional de dados uma ameaa sua integridade. (Captulo 3)
C. Incorreto. A alterao no intencional de dados uma ameaa sua integridade.

21
16 de 40
Um funcionrio nega o envio de uma mensagem especfica.
Qual o aspecto de confiabilidade da informao est em risco aqui?
A. Disponibilidade
B. Exatido
C. Integridade
D. Confidencialidade
A. Incorreto. Sobrecarregar a infraestrutura um exemplo de uma ameaa disponibilidade.
B. Incorreto. Exatido no um aspecto de confiabilidade. uma caracterstica de integridade.
C. Correto. A negao do envio de uma mensagem est relaciondada irretratabilidade, uma
ameaa integridade. (Captulo 3)
D. Incorreto. O uso indevido e/ou divulgao de dados so ameaas confidencialidade.
17 de 40
Qual a melhor maneira de descrever o objetivo da poltica de segurana da informao?
A. A poltica documenta a anlise de riscos e a busca de contramedidas.
B. A poltica fornece orientao e apoio gesto em matria de segurana da informao.
C. A poltica torna o plano de segurana concreto, fornecendo-lhe os detalhes necessrios.
D. A poltica fornece percepes sobre as ameaas e as possveis consequncias.
A. Incorreto. Este o propsito da anlise e gerenciamento de riscos.
B. Correto. A poltica de segurana fornece orientao e apoio gesto em matria de segurana
da informao. (Captulo 5)
C. Incorreto. O plano de segurana faz com que a poltica de segurana da informao seja
concreta. O plano inclui as medidas escolhidas, quem responsvel pelo que, as orientaes para
a implementao de medidas, etc.
D. Incorreto. Este o propsito de uma anlise de ameaa.

22
18 de 40
Um incidente de segurana relacionado com um servidor Web relatado a um funcionrio do
helpdesk. Sua colega tem mais experincia em servidores Web; ento, ele transfere o caso para
ela.
Qual termo descreve essa transferncia?
A. Escalonamento funcional
B. Escalonamento hierrquico
A. Correto. Se o funcionrio do helpdesk no conseguir lidar com o incidente pessoalmente, o
incidente pode ser relatado a algum com mais experincia, que possa ser capaz de resolver o
problema. Isso se chama escalonamento funcional (horizontal). (Captulo 16)
B. Incorreto. Isso se chama escalonamento funcional (horizontal). O escalonamento hierrquico
ocorre quando uma tarefa transferida para algum com mais autoridade.
19 de 40
Uma funcionria trabalhador de uma companhia de seguros descobre que a data de validade de
uma poltica foi alterada sem seu conhecimento. Ela a nica pessoa autorizada a fazer isso. Ela
relata este incidente de segurana ao helpdesk. O atendente do helpdesk registra as seguintes
informaes sobre este incidente:
- data e hora
- descrio do incidente
- possveis consequncias do incidente
Qual a informao mais importante sobre o incidente est faltando aqui?
A. O nome da pessoa que denunciou o incidente
B. O nome do pacote de software
C. O nmero do PC
D. Uma lista de pessoas que foram informadas sobre o incidente
A. Correto. Ao relatar um incidente, no mnimo o nome do usurio deve ser registrado.
(Captulo 16)
B. Incorreto. Esta uma informao adicional que pode ser acrescentada posteriormente.
C. Incorreto. Esta uma informao adicional que pode ser acrescentada posteriormente.
D. Incorreto. Esta uma informao adicional que pode ser acrescentada posteriormente.

23
20 de 40
No ciclo de incidente h quatro etapas sucessivas.
Qual a etapa que sucede o incidente?
A. Ameaa
B. Dano
C. Recuperao
A. Incorreto. O dano se segue aps o incidente. A ordem correta das etapas ameaa, incidente,
dano e recuperao.
B. Correto. A ordem das etapas do ciclo do incidente : ameaa, incidente, dano e recuperao.
(Captulo 16)
C. Incorreto. O dano sucede o incidente. A ordem correta das etapas ameaa, incidente, dano e
recuperao.
21 de 40
Qual das seguintes medidas uma medida preventiva?
A. Instalao de um sistema de registro de eventos (log) que permite que mudanas em um
sistema sejam reconhecidas
B. Desativao de todo trfego internet depois que um hacker ganhou acesso aos sistemas da
companhia
C. Armazenamento de informaes sigilosas em um cofre
A. Incorreto. Por meio de um sistema de registro, somente depois que o incidente ocorreu
possvel pesquisar sobre o que aconteceu. Esta uma medida de deteco, que visa detectar os
incidentes.
B. Incorreto. A desativao de todo o trfego de Internet uma medida repressiva, que visa a
limitar um incidente.
C. Correto. O armazenamento em cofre uma medida preventiva que evita danos s informaes
sigilosas. (Captulo 3)

24
22 de 40
Qual das opes abaixo uma medida repressiva em caso de incndio?
A. Fazer um seguro contra incndio
B. Apagar o fogo depois que o incndio for detectado pelo detector de incndio
C. Reparar os danos causados pelo incndio
A. Incorreto. Um seguro protege contra as consequncias financeiras de um incndio.
B. Correto. Esta medida repressiva minimiza os danos causados pelo fogo. (Captulo 3)
C. Incorreto. Esta no uma medida repressiva, pois no minimiza os danos causados pelo
incndio.
23 de 40
Qual o objetivo da classificao da informao?
A. Criar um manual sobre como manusear dispositivos mveis
B. Aplicar identificaes que facilitem o reconhecimento das informaes
C. Estruturar as informaes de acordo com sua confidencialidade
A. Incorreto. A criao de um manual est relacionada com as diretrizes do usurio e no com a
classificao das informaes.
B. Incorreto. A identificao das informaes uma designao, uma forma especial de categorizar
as informaes, o que ocorre aps a classificao.
C. Correto. A classificao de informaes utilizada para definir os diferentes nveis de
confidencialidade nos quais as informaes podem ser estruturadas. (Captulo 3 e 8)
24 de 40
Quem autorizado a mudar a classificao de um documento?
A. O autor do documento
B. O administrador do documento
C. O proprietrio do documento
D. O gerente do proprietrio do documento
A. Incorreto. O autor pode alterar o contedo, mas no a classificao de um documento.
B. Incorreto. O administrador no pode alterar a classificao de um documento.
C. Correto. O proprietrio deve assegurar que o ativo seja classificado ou reclassificado, se
necessrio; portanto, est autorizado a alterar a classificao de um documento. (Captulo 3 e 8)
D. Incorreto. O gerente do proprietrio no tem autoridade sobre nisso.

25
25 de 40
O acesso sala de computadores est bloqueado por um leitor de crachs. Somente o
Departamento de Gerenciamento de Sistemas tem um crach.
Que tipo de medida de segurana essa?
A. Uma medida de segurana corretiva
B. Uma medida de segurana fsica
C. Uma medida de segurana lgica
D. Uma medida de segurana repressiva
A. Incorreto. A medida de segurana de corretiva uma medida de recuperao.
B. Correto. Esta uma medida de segurana fsic. (Captulo 3 e 11)
C. Incorreto. Uma medida de segurana lgica controla o acesso ao software e informao, e
no o acesso fsico s salas.
D. Incorreto. A medida de segurana repressiva visa minimizar as consequncias de uma
interrupo.
26 de 40
A autenticao forte necessria para acessar reas altamente protegidas. Em caso de
autenticao forte a identidade de uma pessoa verificada atravs de trs fatores.
Qual fator verificado quando preciso mostrar um crach de acesso?
A. Algo que voc
B. Algo que voc tem
C. Algo que voc sabe
A. Incorreto. Um crach de acesso no um exemplo de algo que voc .
B. Correto. Um crach de acesso um exemplo de algo que voc tem. (Captulo 11)
C. Incorreto. Um crach de acesso no algo que voc sabe.

26
27 de 40
Na segurana fsica, mltiplas zonas em expanso (anis de proteo) podem ser aplicadas, nas
quais diferentes medidas podem ser adotadas.
O que no um anel de proteo?
A. Edifcio
B. Anel mdio
C. Objeto
D. Anel externo
A. Incorreto. Um edifcio uma zona vlida e trata do acesso s instalaes.
B. Correto. Anis de proteo: anel externo (rea ao redor das instalaes), edifcio (acesso s
instalaes), espao de trabalho (as salas das instalaes, tambm conhecidas como "anel
interno"), objeto (o ativo que deve ser protegido). No existe um anel mdio. (Captulo 11)
C. Incorreto. Um objeto uma rea vlida e trata do ativo que precisa ser protegido.
D. Incorreto. Um anel externo uma zona vlida e trata da rea ao redor das instalaes.
28 de 40
Qual das ameaas listadas abaixo pode ocorrer como resultado da ausncia de uma medida de
segurana fsica?
A. Um usurio pode ver os arquivos pertencentes a outro
B. Um servidor desligado por causa de superaquecimento
C. Um documento confidencial deixado na impressora
D. Hackers podem entrar livremente na rede de computadores
A. Incorreto. O controle lgico de acesso uma medida tcnica que impede o acesso no
autorizado aos documentos de outro usurio.
B. Correto. A segurana fsica inclui a proteo de equipamentos por meio do controle de
temperatura (ar-condicionado, umidade do ar). (Captulo 11)
C. Incorreto. Uma poltica de segurana deve abranger as regras de como lidar com documentos
confidenciais. Todos os funcionrios devem estar cientes dessa poltica e praticar as regras. uma
medida organizacional.
D. Incorreto. Impedir que hackers entrem no computador ou na rede uma medida tcnica.

27
29 de 40
Qual das seguintes medidas de segurana uma medida tcnica?
A. Atribuio de informaes a um proprietrio
B. Criptografia de arquivos
C. Criao de uma poltica que define o que e no permitido no e-mail
D. Armazenamento de senhas de gerenciamento do sistema em um cofre
A. Incorreto. A atribuio de informaes a um proprietrio a classificao, que uma medida
organizacional.
B. Correto. Esta uma medida tcnica que impede que pessoas no autorizadas leiam as
informaes. (Captulo 6)
C. Incorreto. Esta uma medida organizacional, um cdigo de conduta que est escrito no contrato
de trabalho.
D. Incorreto. Esta uma medida organizacional.
30 de 40
As cpias de segurana (backup) do servidor central so mantidas na mesma sala fechada que o
servidor.
Que risco a organizao enfrenta?
A. Se o servidor falhar, levar um longo tempo antes que o servidor esteja novamente em
funcionamento.
B. Em caso de incndio, impossvel recuperar o sistema ao seu estado anterior.
C. Ningum responsvel pelos backups.
D. Pessoas no autorizadas tm acesso fcil aos backups.
A. Incorreto. Pelo contrrio, isso ajudaria a recuperar o sistema operacional mais rapidamente.
B. Correto. A chance de que as cpias de segurana tambm possam ser destrudas em um
incndio muito grande. (Captulo 11)
C. Incorreto. A responsabilidade no tem nada a ver com o local de armazenamento.
D. Incorreto. A sala de informtica est trancada.

28
31 de 40
Que tipo de malware cria uma rede de computadores contaminados?
A. Bomba Lgica
B. Storm Worm ou Botnet
C. Cavalo de Troia
D. Spyware
A. Incorreto. Uma bomba lgica nem sempre um malware. parte de cdigo incorporada a um
sistema de software.
B. Correto. Um worm um pequeno programa de computador que se reproduz propositadamente
e cpias do original so distribudas atravs da rede de seu host. (Captulo 12)
C. Incorreto. Um cavalo de Troia um programa que, alm de realizar a funo para a qual foi
criado, realiza propositadamente atividades secundrias, sem que o usurio perceba.
D. Incorreto. Um spyware um programa de computador que coleta informaes sobre o usurio
do computador e as envia a terceiros.
32 de 40
Em uma organizao, o agente de segurana detecta que a estao de trabalho de um funcionrio
est infectada com software malicioso. O software malicioso foi instalado como resultado de um
ataque direcionado de phishing.
Qual ao a mais benfica para evitar esses incidentes no futuro?
A. Implementar a tecnologia MAC
B. Iniciar um programa de conscientizao de segurana
C. Atualizar as regras do firewall
D. Atualizar as assinaturas do filtro de spam
A. Incorreto. O MAC est relacionado com o controle de acesso, o que no impede que um usurio
seja convencido a executar algumas aes como resultado do ataque direcionado.
B. Correto. A vulnerabilidade inerente a essa ameaa a falta de conscincia do usurio. Os
usurios so convencidos, nesses tipos de ataques, a executar algum cdigo que viola a poltica
(por exemplo, instalar software suspeito). Combater esse tipo de ataques com um programa de
conscientizao de segurana reduzir a possibilidade de recorrncia no futuro. (Captulo 12)
C. Incorreto. Embora o firewall possa, por exemplo, bloquear o trfego que resultou da instalao
de software malicioso, no ser til para evitar a recorrncia da ameaa.
D. Incorreto. O ataque direcionado no precisa usar e-mail. O indivduo que realiza o ataque pode
usar sites de relacionamento ou at mesmo o telefone para fazer contato com a vtima

29
33 de 40
Voc trabalha no departamento de TI de uma empresa de tamanho mdio. Informaes
confidenciais tm cado em mos erradas por vrias vezes. Isso tem prejudicado a imagem da
companhia. Voc foi solicitado a propor medidas de segurana organizacional em laptops para sua
companhia.
Qual o primeiro passo que voc deveria dar?
A. Formular uma poltica para tratar da segurana de dispositivos mveis (PDAs, laptops,
smartphones, pen drive)
B. Designar uma equipe de segurana
C. Criptografar os discos rgidos dos laptops e mdias de armazenamento externo, como pen
drives
D. Estabelecer uma poltica de controle de acesso
A. Correto. A poltica sobre como usar dispositivos mveis uma medida organizacional, e
medidas de segurana para laptops podem ser obrigatrias. (Captulo 6)
B. Incorreto. Designar uma equipe de segurana uma medida tcnica. Quando algum leva um
laptop para fora do escritrio, o risco de vazamento de informaes permanece.
C. Incorreto. Criptografar os discos rgidos de laptops e pen drives uma medida tcnica. Isso
pode ser realizado com base em uma medida organizacional.
D. Incorreto. A poltica de controle de acesso uma medida organizacional, que abrange apenas o
acesso a edifcios ou sistemas de TI.
34 de 40
Qual o nome do sistema que garante a coerncia da segurana da informao na organizao?
A. Sistema de Gesto de Segurana da Informao (SGSI)
B. Rootkit
C. Regulamentos de segurana para informaes especiais do governo.
A. Correto. O SGSI descrito na norma ISO/IEC 27001. (Captulo 3)
B. Incorreto. Um rootkit um conjunto malicioso de ferramentas de software frequentemente usado
por terceiros (geralmente um hacker).
C. Incorreto. Isso um conjunto de regras governamentais sobre como lidar com informaes
especiais.

30
35 de 40
Como se chama o processo de definir se a identidade de algum correta?
A. Autenticao
B. Autorizao
C. Identificao
A. Correto. Definir se a identidade de algum correta chama-se autenticao. (Captulo 9)
B. Incorreto. Quando algum recebe os direitos de acesso a um computador ou rede, isso se
chama autorizao.
C. Incorreto. A identificao o processo de tornar uma identidade conhecida.
36 de 40
Por que necessrio manter um plano de recuperao de desastres atualizados e test-lo
regularmente?
A. A fim de sempre ter acesso s cpias de segurana (backups) recentes, que esto localizadas
fora do escritrio
B. Para ser capaz de lidar com as falhas que ocorrem diariamente
C. Porque, de outra forma, na eventualidade de uma grande interrupo, as medidas tomadas e
os procedimentos previstos podem no ser adequados ou podem estar desatualizados.
D. Porque isso exigido pela Lei de Proteo de Dados Pessoais
A. Incorreto. Esta uma das medidas tcnicas utilizadas para recuperar um sistema.
B. Incorreto. Para interrupo normais, as medidas usualmente executadas e os procedimentos de
incidentes so suficientes.
C. Correto. Uma grande interrupo requer planos atualizados e testados. (Captulo 17)
D. Incorreto. A Lei de Proteo de Dados Pessoais envolve a privacidade dos dados pessoais.

31
37 de 40
Com base em qual legislao algum pode pedir para inspecionar seus dados pessoais que
tenham sido registrados (em pases onde a lei aplicvel)?
A. A Lei de Registros Pblicos
B. A Lei de Proteo de Dados Pessoais
C. A Lei de Crimes de Informtica
D. A Lei de Acesso Pblico a Informaes do Governo
A. Incorreto. A Lei de Registros Pblicos regula o armazenamento e a destruio de documentos
arquivados.
B. Correto. O direito de inspeo regulado pela Lei de Proteo de Dados Pessoais.
(Captulo 18)
C. Incorreto. A Lei de Crimes de Informtica uma mudana do Cdigo Penal e do Cdigo de
Processo Criminal de forma a tornar mais fcil lidar com crimes praticados por meio de tecnologia
da informao avanada. Um exemplo de um novo crime o hacking.
D. Incorreto. A Lei de Acesso Pblico a Informaes do Governo regula a inspeo de documentos
oficiais escritos. Dados pessoais no so documentos oficiais.
38 de 40
Qual a legislao ou ato regulatrio relacionado segurana da informao que pode ser
imposto a todas as organizaes (em pases onde a lei aplicvel)?
A. Direito de Propriedade Intelectual
B. ISO/IEC 27001:2013
C. ISO/IEC 27002:2013
D. Legislao de proteo de dados pessoais
A. Incorreto. Essa regulamentao no est relacionada com a segurana de informaes para as
organizaes.
B. Incorreto. Esta uma norma com orientaes para as organizaes sobre como lidar com a
definio de um processo de segurana de informaes.
C. Incorreto. Esta norma, tambm conhecida como Cdigo de boas prticas para segurana de
informaes, contm orientaes sobre a poltica e as medidas de segurana de informaes.
D. Correto. Todas as organizaes devem ter uma poltica e procedimentos para proteo de
dados pessoais, que devem ser conhecidos por todos que processam dados pessoais.
(Captulo 18)

32
39 de 40
Voc o proprietrio de uma companhia de correio (courier), SpeeDelivery. Voc emprega
algumas pessoas que, enquanto esperam para fazer as entregas, podem realizar outras tarefas.
Voc percebe, no entanto, que eles usam esse tempo para enviar e ler seus e-mails particulares e
navegar na Internet.
Em termos legais, de que forma o uso da internet e do e-mail pode ser melhor regulado?
A. Instalando um aplicativo que impea o acesso a certos sites da Internet e que realizem
filtragem em arquivos anexados a e-mails
B. Elaborando um cdigo de conduta para o uso da internet e do e-mail, no qual os direitos e
obrigaes tanto do empregador quanto dos empregados estejam claramente declarados
C. Implementando normas de privacidade
D. Instalando rastreadores de vrus
A. Incorreto. Instalar esse tipo de software regulamenta parcialmente o uso da Internet e do e-mail,
mas no o tempo gasto em uso privativo. Esta uma medida tcnica.
B. Correto. Em um cdigo de conduta, a utilizao da Internet e do e-mail pode ser documentada,
quais sites podem ou no ser visitados e at que ponto o uso privativo permitido. Estas so
normas internas.( Captulo 18)
C. Incorreto. Normas de privacidade somente regulamentam o uso de dados pessoais de
funcionrios e clientes, e no o uso da Internet e do e-mail.
D. Incorreto. Um mecanismo de varredura de vrus verifica os e-mails que chegam e softwares
maliciosos nas conexes com a Internet. Ele no regulamenta o uso da Internet e do e-mail. uma
medida tcnica.
40 de 40
Em quais condies permitido a um empregador verificar se os servios de Internet e e-mail no
ambiente de trabalho esto sendo utilizados para finalidades pessoais?
A. O empregador poder fazer essa verificao, se o funcionrio for informado depois de cada
sesso de verificao
B. O empregador poder fazer essa verificao se os funcionrios forem informados que isso
pode acontecer
C. O empregador poder fazer essa verificao se um firewall tambm estiver instalado
A. Incorreto. O funcionrio no precisa ser informado aps cada verificao.
B. Correto. Os funcionrios devem saber que o empregador tem o direito de monitorar o uso dos
servios de TI. (Captulo 3 e 18)
C. Incorreto. Um firewall protege contra invasores externos. Isso no influencia o direito de o
empregador monitorar a utilizao dos servios de TI.

33
Avaliao
A tabela abaixo apresenta as respostas corretas para as perguntas neste exame simulado.
nmero resposta
pontos
nmero resposta
pontos
21
22
23
24
25
26
27
28
29
10
30
11
31
12
32
13
33
14
34
15
35
16
36
17
37
18
38
19
39
20
40

34

35
Contato EXIN
www.exin.com

Simulado EXIN PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Simulado EXIN PDF

Enviado por

Direitos autorais:

Formatos disponíveis

EXIN Fundamentos da Segurana da

Edio Junho 2016

Copyright 2016 EXIN

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Exame simulado EXIN Fundamentos da Segurana da

Você também pode gostar