1- A ausncia de mecanismo de proteo ou a falha em um mecanismo de proteo existente

chamamos de:
1) Ameaa
2) Vulnerabilidade
3) Impacto
4) Risco

2- O conceito de segurana estar livre de perigos e incertezas. correto afirmar que

segurana da informao visa a ..
1) Criao de poltica, normas e procedimentos.
2) Criao de mecanismos para no ser invadido.
3) Proteo de ativos que contm informaes.
4) Nenhuma das respostas acima.

3- Quais so as trs caractersticas consideradas os pilares da segurana da informao?

1) No-repdio, criptografia e autenticao.
2) confidencialidade, criptografia e integridade.
3) Confidencialidade, integridade e disponibilidade.
4) Criptografia, disponibilidade e no-repdio.

4- Qual o conceito de "ativo de informao?

1) So aqueles que produzem, processam, transmitem ou armazenam informaes.
2) So os equipamentos de redes.
3) So normas, procedimentos e a poltica de segurana.
4) Nenhuma das respostas acima.

5- Quais as etapas do ciclo de vida da informao?

1) Manuseio, Armazenamento, Transporte e descarte;
2) Criao, armazenamento, manuseio e descarte;
3) Criao, armazenamento, transporte e remoo;
4) Criao, manuseio, transporte e descarte;

6- O processo que consiste em identificar quais so os nveis de proteo que as informaes

demandam e estabelecer classes e formas de identific-las, alm de determinar os controles
de proteo a cada uma delas. Estamos nos referindo ao conceito de:
1) organizao da informao;
2) Classificao da informao;
3) otimizao da informao;
4) randomizao da informao;

7- Quais so os quatro aspectos importantes que norteiam as aes de segurana em uma

informao?
1) Criptografia, autenticao, valor e disponibilidade;
2) Confidencialidade, valor, integridade e criptografia;
3) Confidencialidade, valor, integridade e disponibilidade;
4) Confidencialidade, integridade, disponibilidade e criptografia;

8- O que a anlise de vulnerabilidade envolve?

1) Pessoas, processos, tecnologia e ambiente;
2) Tecnologia, programas, aplicativos e testes;
3) Pessoas, vulnerabilidades, ameaas e tecnologia;
4) dado, informao, conhecimento, processo;

9- So tipos de vulnerabilidades:
1) humana, hardware, software, natural;
2) pessoal, tecnolgica, natural, social;
3) tcnica, estratgica, operacional e administrativa;
4) baixa, mdia, alta e complexa;
10- As vulnerabilidades por si s no provocam incidentes, pois so elementos passivos,
necessitando para tanto de _________________ou uma condio favorvel que so
__________________.
1) um agente causador, as ameaas;
2) um software, falhas de segurana;
3) um elemento ativo, os exploits;
4) ameaas, falhas de segurana

11- Programa ou parte de um programa de computador que se propaga infectando, isto ,

inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um
computador.
1) Vrus
2) Worm;
3) Rootkit;
4) Spyware;

12- Quais os princpios bsicos de segurana que as ameaas normalmente afetam?

1) disponibilidade, integridade, confidencialidade;
2) disponibilidade, criptografia, autenticidade;
3) integridade, autenticidade, confidencialidade;
4) integridade, autenticidade,criptografia;

13- Como podemos conceituar um cavalo-de-tria?

1) Programa que parece til mas tem cdigo destrutivo embutido;
2) Programa que fornece mecanismo para esconder e assegurar a presena de um invasor;
3) Software especificamente projetado para apresentar propagandas, seja atravs de um
browser, seja atravs de algum outro programa instalado em um computador.
4) Software que tem o objetivo de monitorar atividades de um sistema e enviar as
informaes coletadas para terceiros.

14- Quais as etapas, em ordem cronolgica, de um planejamento de ataque?

1) Levantamento das informaes, Explorao das informaes (scanning),
Obteno do acesso, Manuteno do acesso, Camuflagem das evidncias;
2) Explorao das informaes (scanning), Levantamento das informaes, Obteno do
acesso, Manuteno do acesso, Camuflagem das evidncias;
3) Obteno do acesso, Levantamento das informaes, Explorao das informaes
(scanning), Manuteno do acesso, Camuflagem das evidncias;
4) Obteno do acesso, Levantamento das informaes, Manuteno do acesso, Explorao
das informaes (scanning), Camuflagem das evidncias;

15- O que o ataque denominado DdoS?

1) tenta tornar os recursos de um sistema indisponveis para seus utilizadores,
porm de forma distribuda.
2) Explora a metodologia de estabelecimento de conexes do protocoloTCP, baseado no
three-way-handshake.
3) Tenta tornar os recursos de um sistema indisponveis para seus utilizadores.
4) Mapeia as portas do protocolos TCP e UDP abertas em um determinado host.

16- O que o ataque denominado engenharia social?

1) Consistem em utilizar a persuaso, para obter informaes que podem ser
utilizadas para ter acesso no autorizado a computadores ou informaes.
2) Consiste em tornar os recursos de um sistema indisponveis para seus utilizadores.
3) Consiste na verificao do lixo em busca de informaes que possam facilitar o ataque;
4) Consiste na captura de informaes valiosas diretamente pelo fluxo de pacotes
transmitido na rede.

17- A empresa ABC est desenvolvendo um poltica de segurana da Informao e uma de

suas maiores preocupaes com as informaes crticas e sigilosas da empresa. Como estas
informaes impressas em papel sero descartadas. Qual o tipo de ataque est preocupando
a empresa ABC?
 1. Fraggle
2. Smurf
3. Dumpster diving ou trashing
4. Phishing Scan
5. SYN Flooding

18- Baseado no conceito de que as protees so medidas que visam livrar os ativos de
situaes que possam trazer prejuzo e que podemos classific-las de acordo com a sua ao
e o momento em que ocorre, qual das opes abaixo no corresponde classificao das
protees de acordo com a sua ao e o momento na qual ela ocorre?
1. Preventivas.
2. Correo.
3. Destrutivas.
4. Deteco .
5. Desencorajamento.

19- Para auxiliar no processo de classificao das informaes das organizaes, podemos
utilizar que ferramenta?
1. Uma Analise Quantitativa dos nveis Alto, Mdio e Baixo das Informaes.
2. Uma Matriz que utilize nveis Alto, Mdio e Baixo versus a Confidencialidade,
a Integridade e a Disponibilidade das Informaes.
3. Uma Matriz que utilize nveis Alto, Mdio e Baixo versus a Confidencialidade, a
Integridade e a Probabilidade das Informaes.
4. Uma Analise Qualitativa dos nveis Alto, Mdio e Baixo das Informaes.
5. Uma Matriz que utilize nveis Alto, Mdio e Baixo versus a Confiabilidade, a Integridade
e a Disponibilidade das Informaes.

20- O tamanho do prejuzo, medido atravs de propriedades mensurveis ou abstratas, que a

concretizao de uma determinada ameaa causar est relacionado com qual conceito de?
1. Ameaa.
2. Risco.
3. Valor.
4. Impacto.
5. Vulnerabilidade.

21- Com o crescimento da internet, das tecnologias e aplicaes a ela relacionadas e

principalmente na forma como a tecnologia da informao tem apiado as operaes das
empresas, qual das opes abaixo no verdadeira quando tratamos do conceito de
Informao ?
1. fundamental proteger o conhecimento gerado.
2. Pode conter aspectos estratgicos para a Organizao que o gerou.
3. necessrio disponibiliz-la para quem tem a real necessidade de conhec-la.
4. A informao vital para o processo de tomada de deciso de qualquer corporao.
5. Deve ser disponibilizada sempre que solicitada.

22- Um fator importante em um processo de classificao da informao o nvel de ameaa

conhecido que cada informao tem. Quando uma informao classificada como pblica,
podendo ser utilizada por todos sem causar danos organizao, podemos afirmar que ela
possui qual nvel de segurana?
1. Confidencial.
2. Interna.
3. Irrestrito.
4. As opes (a) e (c) esto corretas.
5. Secreta.

23- Em uma organizao existem diversos tipos de ativos que podem ser organizados e
classificados atravs de diversas propriedades. Qual das opes abaixo descreve o conceito
de Ativos para a Segurana da Informao:
1. Tudo aquilo que no manipula dados.
2. Tudo aquilo que tem valor para a organizao.
 3. Tudo aquilo que no possui valor especfico.
4. Tudo aquilo que utilizado no Balano Patrimonial.
5. Tudo aquilo que a empresa usa como inventario contbil.

24- Um grande banco teve o saldo da conta corrente de vrios clientes alterados devido a
ocorrncia de um ataque externo. O ataque ocorreu atravs da tela de entrada do sistema
que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um
ataque de
1. Fragmentao de Pacotes IP
2. Smurf
3. SQL Injection
4. Buffer Overflow
5. Fraggle

25- Analise a afirmativa: O nvel de segurana pode ser aumentado tanto pela necessidade
de confidencialidade quanto pela de disponibilidade. Esta afirmao :
1. verdadeira desde que seja considerada que todas as informaes so publicas.
2. verdadeira se considerarmos que o nvel no deve ser mudado.
3. verdadeira, pois a classificao da informao pode ser sempre reavaliada.
4. falsa, pois a informao no deve ser avaliada pela sua disponibilidade.
5. falsa, pois no existe alterao de nvel de segurana de informao.

26- O crescimento explosivo da internet e das tecnologias e aplicaes a ela relacionadas

revolucionou o modo de operao das empresas, o modo como as pessoas trabalham e a
forma como a tecnologia da informao apia as operaes das empresas e as atividades de
trabalho dos usurios finais. Qual das opes abaixo no pode ser considerada como razo
fundamental para as aplicaes de tecnologia da informao nas empresas?
1. Apoio s Operaes
2. Apoio aos Processos
3. Apoio s Estratgias para vantagem competitiva
4. Apoio ao uso da Internet e do ambiente wireless
5. Apoio tomada de deciso empresarial

27- Qual das opes abaixo descreve um tipo de ataque onde possvel obter informaes
sobre um endereo especfico, sobre o sistema operacional, a arquitetura do sistema e os
servios que esto sendo executados em cada computador ?
1. Ataques de cdigos pr-fabricados
2. Ataque para Obteno de Informaes
3. Ataque de Configurao mal feita
4. Ataque Aplicao
5. Ataque aos Sistemas Operacionais

28- Qual das opes abaixo no considerada como sendo um dos fatores fundamentais e
que possam impactar no estudo e implementao de um processo de gesto de segurana
em uma organizao?
1. Vulnerabilidade.
2. Impacto .
3. insegurana /intensidade
4. Risco.
5. Ameaa.

29- O Evento que tem potencial em si prprio para comprometer os objetivos da organizao,
seja trazendo danos diretos aos ativos ou prejuzos decorrentes de situaes inesperadas est
relacionado com qual conceito?
1. Valor.
2. Risco.
3. Ameaa.
4. Impacto.
5. Vulnerabilidade.
30- Um hacker est planejando um ataque a uma importante empresa de E-commerce. Desta
forma ser necessrio levantar quais os servios de rede esto disponveis na rede da
empresa. Para alcanar o seu objetivo o invasor tentar levantar estas informaes atravs
da escuta das portas do protocolo TCP e UDP. Neste caso estamos nos referindo a um ataque
do tipo:
1. SYN Flooding
2. Fraggle
3. Fragmentao de Pacotes IP
4. Port Scanning
5. Three-way-handshake

31- Como qualquer bem ou recurso organizacional, a informao tambm possui seu conceito
de valor . Qual das opes abaixo no representa um dos possveis conceitos fundamentais
do valor atribudo s informaes para as organizaes quando tratamos de Segurana da
Informao?
1. Valor de restrio.
2. Valor de troca.
3. Valor de propriedade.
4. Valor de oramento.
5. Valor de uso.

32- O que analise de risco?

1) Pessoas, processos, tecnologia e ambiente;
2) Tecnologia, programas, aplicativos e testes;
3) Pessoas, vulnerabilidades, ameaas e tecnologia;
4) dado, informao, conhecimento, processo;

33- Os riscos no podem ser completamente eliminados e a poro do risco existente aps
todas as medidas de tratamento terem sido tomadas, chama-se?
1) Risco de transao;
2) Risco residual
3) Risco analtico
4) Risco estrutural

34- A gesto de riscos contempla uma srie de atividades relacionadas forma como uma
organizao lida com o risco. Baseado no ciclo de vida da gesto de risco, quais so as
quatros atividades principais:
1) Avaliao do Risco, Tratamento do Risco, Aceitao do Risco, Comunicao do
Risco;
2) Avaliao do Risco, Aceitao do Risco, Tratamento do Risco, Comunicao do Risco;
3) Comunicao do Risco, Aceitao do Risco, Tratamento do Risco, Avaliao do Risco;
4)

35- Sobre a Norma ISO/IEC 27001 podemos afirma que:

1) Apresenta os requisitos para a implementao de um Sistema de Gesto de
Segurana da Informao;
2) Tem como objetivo tratar a gesto de risco da informao;
3) Tem como objetivo tratar a recuperao e continuidade de negcios;
4) um cdigo de melhores prticas de segurana da informao;

36- Sobre a Norma ISO/IEC 27005 podemos afirma que:

1) Tem como objetivo a certificao do sistema de gesto de segurana da informao;
2) Tem como objetivo tratar a gesto de risco da informao;
3) Tem como objetivo tratar a recuperao e continuidade de negcios;
4) um cdigo de melhores prticas de segurana da informao;

37- Sobre a Norma ISO/IEC 27002 podemos afirma que:

1) Tem como objetivo a certificao do sistema de gesto de segurana da informao;
2) Tem como objetivo tratar a gesto de risco da informao;
3) Tem como objetivo tratar a recuperao e continuidade de negcios;
4) um cdigo de melhores prticas de segurana da informao

38- Sobre a Norma ISO/IEC 27001 podemos afirma que:

1) Apresenta os requisitos para a implementao de um Sistema de Gesto de
Segurana da Informao;
2) Tem como objetivo tratar a gesto de risco da informao;
3) Tem como objetivo tratar a recuperao e continuidade de negcios;
4) um cdigo de melhores prticas de segurana da informao;

39- O que a declarao de aplicabilidade?

1) A relao de quais controles so aplicveis e as justificativas dos que no so
aplicveis ao seu SGSI;
2) Os pontos especficos que definem o que deve ser feito para assegurar aquele item;
3) A poltica do Sistema de Gesto de Segurana da Informao (SGSI);
4) O resultado da avaliao de risco;

40- Para estabelecer um Sistema de Gesto de Segurana da Informao (SGSI) documentado

e dentro do contexto das atividades de negcio da organizao e dos riscos que ela enfrenta,
a norma ISO/IEC 27001 utiliza uma abordagem:
1) de processo;
2) de risco;
3) de controle;
4) de negcio;

41- Quais os processos que compes o ciclo de vida da continuidade de negcio?

1) Gesto do programa de GCN, Determinando a estratgia de continuidade de
negcios, Desenvolvendo e implementando uma resposta de GCN, Testando,
mantendo e analisando criticamente os preparativos de GCN, Incluindo a GCN na
cultura da organizao;
2) Gesto do programa de GCN, Anlise do impacto do negcio (BIA), Anlise de risco do
negcio, mantendo e analisando criticamente os preparativos de GCN, Incluindo a GCN na
cultura da organizao;
3) Determinando a estratgia de continuidade de negcios, Desenvolvendo e implementando
uma resposta de GCN, Implementando a Poltica de continuidade de negcio, Testando,
mantendo e analisando criticamente os preparativos de GCN;
4) Desenvolvendo e implementando uma resposta de GCN, Anlise de impacto do negcio
(BIA), Testando, mantendo e analisando criticamente os preparativos de GCN, Incluindo a GCN
na cultura da organizao;

42- No contexto da continuidade de negcio qual o conceito de desastre:

1) Eventos de grande magnitude em termos de prejuzo, porm com probabilidade
muito baixa de ocorrncia;
2) Eventos de grande magnitude em termos de prejuzo, com probabilidade muito alta de
ocorrncia;
3) Evento imprevisto e indesejvel que resulta em algumen tipo de dano financeiro
empresa;
4) Evento imprevisto e indesejvel que poderia ter resultado em algum tipo de dano
pessoa, ao patrimnio ou ainda algum tipo de impacto ao meio ambiente mas no resultou;

43- O que contem um Plano de resposta a incidentes?

1) As tarefas e aes para administrar as consequncias imediatas de uma
interrupo de negcios;
2) A lista de tarefas e aes em ordem de prioridade para a continuidade do negcio;
3) O grau de relevncia dos processos ou atividades que compe a entrega de produtos e
servios fundamentais para a organizao e dentro do escopo do programa de GCN;
4) As aes para avaliar a competncia de GCN e sua capacidade de identificar falhas reais e
potenciais;

44- O que caracteriza o algoritmo de criptografia de chave assimtrica?

1) A utilizao de duas chaves diferentes, uma em cada extremidade do processo
de comunicao;
2) A utilizao de uma mesma chave tanto para a codificar quanto para decodificar
mensagens sendo conhecida por ambos os lados do processo de comunicao;
3) A utilizao de um algoritmo de criptografia chamado de hash;
4) A utilizao de assinatura digital;

45- Qual o conceito de zona demilitarizada (DMZ)?

1) pequenas redes que geralmente contm servios pblicos que so conectados
diretamente ao firewall ou a outro dispositivo de filtragem;
2) redes que esto localizadas dentro do permetro de segurana e portanto necessitam de
proteo;
3) redes que contm servios que necessitam de criptografia;
4) redes que contm servios que necessitam de assinatura digital;

46- Qual a funo de um firewall?

1) Isola a rede interna da organizao da rea pblica da Internet, permitindo que
alguns pacotes passem e outros no;
2) reconhece um comportamento ou uma ao intrusiva, atravs da anlise das informaes
disponveis em um sistema de computao ou rede;
3) protege equipamentos e informaes contra usurios no autorizados, prevenindo o
acesso a esses recursos;
4) escreve mensagens em forma cifrada ou em cdigo;

47- Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente
ficou fora do ar, antes foi deixada uma mensagem informando : "Este ms, o governo
vivenciar o maior nmero de ataques de natureza virtual na sua histria feito pelo fail shell".
Foi um ataque orquestrado, no s para este site mas para varias instituies
governamentais, acredita-se que foram utilizados mais de 2 bilhes de acesso no caso foi
utilizado um Denial-of service.. O banco de dados IBGE no foi afetado, o portal mais
informativo, no comprometendo aos dados internos e criticos que no devem ser divulgados.
Qual voc acha que foi a vulnerabilidade para este ataque?
1. Vulnerabilidade Comunicao
2. Vulnerabilidade Mdias
3. Vulnerabilidade Fsica
4. Vulnerabilidade Natural
5. Vulnerabilidade Software

48- Analise a frase abaixo: Capacidade de uma organizao de resistir aos efeitos de um
incidente. Assinale qual das opes representa o conceito correto da frase acima:
1. Restaurao
2. Resilincia
3. Resistncia
4. Recuperao
5. Rescaldo

49- Com relao afirmao So as vulnerabilidades que permitem que as ameaas se

concretizem podemos dizer que:
1. A afirmativa falsa.
2. A afirmativa verdadeira.
3. A afirmativa verdadeira somente para ameaas identificadas.
4. A afirmativa verdadeira somente para vulnerabilidades fsicas.
5. A afirmativa verdadeira somente para vulnerabilidades lgicas.

50- Maria trabalha como engenheira qumica de uma importante empresa do ramo
farmacetico em um projeto indito e que ir permitir a sua empresa obter um diferencial
competitivo em relao aos concorrentes. As informaes com que Maria trabalha deve ser
classificada como interna e restrita a um grupo seleto dentro da organizao, devendo a sua
integridade ser preservada a qualquer custo e o acesso bastante limitado e seguro, sendo
vital para a companhia. Em qual nvel de segurana a informao deve ser classificada?
 1. Interna
2. Secreta
3. Pblica
4. Confidencial
5. Proibida

51- Segundo a RFC 2828 os ataques podem ser definidos como um ataque segurana do
sistema, derivado de uma ameaa inteligente, ou seja, um ato inteligente que uma
tentativa deliberada de burlar os servios de segurana e violar a poltica de segurana de um
sistema. Os ataques ser classificados como:
1. Passivo e Ativo
2. Secreto e Ativo
3. Passivo e Vulnervel
4. Secreto e Vulnervel
5. Forte e Fraco

52- Qual das opes abaixo descreve melhor conceito de "Ameaa" quando relacionado com a
Segurana da Informao:
1. Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos
2. Tudo aquilo que tem origem para causar algum tipo de erro nos ativos
3. Tudo aquilo que tem percepo de causar algum tipo de dano aos ativos
4. Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes.
5. Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos

53- A norma NBR ISO/IEC 27002 orienta que a organizao deve controlar o acesso
informao, aos recursos de processamento de dados e aos processos de negcios com base
nos requisitos de negcio e na segurana da informao levando em considerao as polticas
para autorizao e disseminao da informao. Neste caso a
NBR ISO/IEC 27002 est fazendo referencia a que tipo de ao de Segurana?
1. Gerenciamento das Operaes e Comunicaes
2. Desenvolvimento e Manuteno de Sistemas
3. Controle de Acesso
4. Segurana em Recursos Humanos
5. Segurana Fsica e do Ambiente

54- Voc est trabalhando em um projeto de implantao da continuidade de negcios em

sua organizao. Voc est na fase do projeto que a anlise de impacto nos negcios.
Analise a opo que melhor retrata as aes que voc deve realizar:
1. Levantar o grau de dificuldade dos processos ou atividades que compe a entrega de
produtos e servios desnecessrios para a organizao.
2. Levantar o grau de dificuldade dos processos ou atividades da rea de TI que compe a
entrega de produtos e servios fundamentais para a organizao.
3. Levantar o grau de relevncia dos usurios ou atividades que compe a entrega de
produtos e servios desnecessrios para a organizao.
4. Levantar o grau de relevncia dos processos ou atividades que compe a
entrega de produtos e servios fundamentais para a organizao.
5. Levantar o grau de relevncia dos processos ou hardware que compe a entrega de
produtos e servios fundamentais para a organizao.

55- Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurana da informao visa proteger
os ativos de informao de diversos tipos de ameaas para garantir a continuidade dos
negcios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurana
da informao pode ser caracterizada por trs princpios bsicos:
1. Flexibilidade, agilidade e conformidade
2. Autenticidade, originalidade e abrangncia
3. Integridade, preveno e proteo
4. Preveno, proteo e reao
5. Integridade, confidencialidade e disponibilidade
56- Quando tratamos de Criptografia de Chave Assimtrica ou pblica quais das opes
abaixo est INC ORRETA :
1. A Chave Privada deve ser mantida em segredo pelo seu Dono
2. Cada pessoa ou entidade mantm duas chaves
3. A Chave Publica no pode ser divulgada livremente, somente a Chave Privada
4. Chave Publica e Privada so utilizadas por algoritmos assimtricos
5. A Chave Publica pode ser divulgada livremente

57- Maio/2011 - A Sony sofre invaso de hackers com o vazamento de informaes de mais
de 100 milhes de usurios da rede online de games PlayStation Network. O ataque base de
dados de clientes se realizou desde um servidor de aplicaes conectado com ela, e que est
depois de um servidor site e dois firewalls. Segundo a companhia, os hackers encobriram o
ataque como uma compra na plataforma online de Sony e depois de passar do servidor site, O
ataque, que foi considerado um dos maiores, no sentido do vazamento de dados
confidenciais, da histria obrigou a Sony a reconstruir grande parte da sua rede, causado um
prejuzo de 171 milhes de Dlares. A rede tambm ficou fora do ar por 28 dias, sendo que
alguns servios menos essenciais foram reestabelecidos primeiro e regionalmente antes do
reestabelecimento total de todos os servios. . Qual voc acha que foi a vulnerabilidade para
este ataque?
1. Vulnerabilidade de Comunicao
2. Vulnerabilidade de Mdias
3. Vulnerabilidade Natural
4. Vulnerabilidade de Software
5. Vulnerabilidade Fsica

58- Ao analisarmos a afirmativa: Devemos levar em considerao que diferentes ameaas

possuem impactos diferentes e que dependendo do ativo afetado, podemos ter tambm
impactos diferentes para uma mesma ameaa. Podemos dizer que :
1. verdadeira
2. parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma
ameaa.
3. falsa, pois no depende do ativo afetado.
4. falsa, pois no devemos considerar que diferentes ameaas existem .
5. falsa, pois os impactos so sempre iguais para ameaas diferentes.

59- Maria trabalha na filial de So Paulo da empresa ABC e necessita transmitir um arquivo
para Pedro que trabalha na filial de Belm. Aps receber o arquivo transmitido por Maria,
Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a
transmisso. Neste estava houve uma falha na segurana da informao relacionada :
1. No-Repdio;
2. Integridade;
3. Auditoria;
4. Autenticidade;
5. Confidencialidade;

60- Qual das opes abaixo representa o tipo de ao quando observamos que o custo de
proteo contra um determinado risco no vale a pena ser aplicado:
1. Comunicao do Risco
2. Aceitao do Risco
3. Garantia do Risco
4. Monitoramento do Risco
5. Recusar o Risco

61- Marcelo analista de suporte da empresa X e est responsvel pela instalao dos
equipamentos de rede.
Durante a instalao do novo roteador, Marcelo no percebeu que ocorreram vrios erros na
instalao do equipamento. Neste caso ocorreu um exemplo de vulnerabilidade :
1. De Mdia;
2. De comunicao;
3. De Software;
 4. De hardware;
5. Natural;

62- Qual tipo de ataque envolve alguma modificao do fluxo de dados ou a criao de um
fluxo falso?
1. Passivo
2. Forte
3. Fraco
4. Secreto
5. Ativo

63- Voc trabalha na rea de segurana da sua empresa e com objetivo de reduzir os riscos
na rea de Banco de Dados, pretende implementar recursos que permitam identificar e gerir
os acessos, definindo perfis e autorizando permisses. Neste caso que tipo de barreira voc
est implementando?
1. Deter
2. Discriminar
3. Desencorajar
4. Dificultar
5. Detectar

64- A demanda gradual por armazenamento de conhecimento tem levado necessidade de

administrao desses dados de forma confivel. Qual das opes abaixo representa melhor a
seqencia na evoluo do tratamento dos Dados para a sua utilizao eficaz nas
organizaes?
1. Dado - Conhecimento - Informao
2. Dado - Informao - Informao Bruta
3. Dado - Informao - Conhecimento
4. Dado - Informao - Dados Brutos
5. Dado - Conhecimento Bruto - Informao Bruta

65- Considere um sistema no qual existe um conjunto de informaes disponvel para um

determinado grupo de usurios denominados auditores. Um usurio de um outro grupo, o
grupo estudante, tenta acessar o sistema em busca de uma informao que somente o
grupo auditores tem acesso e consegue. Neste caso houve uma falha na segurana da
informao para este sistema na propriedade relacionada :
1. Auditoria;
2. Disponibilidade;
3. No-Repdio;
4. Integridade;
5. Confidencialidade;

66- Qual das opes abaixo descreve melhor conceito de Risco quando relacionado com a
Segurana da Informao:
1. Probabilidade de uma ameaa explorar um incidente.
2. Probabilidade de uma ameaa explorar uma vulnerabilidade.
3. Probabilidade de um ativo explorar uma ameaa.
4. Probabilidade de um ativo explorar uma vulnerabilidade.
5. Probabilidade de um incidente ocorrer mais vezes.

67- Qual das opes abaixo descreve um tipo de ataque que normalmente tem como objetivo
atingir mquinas servidoras da WEB de forma a tornar as pginas hospedadas nestes
servidores indisponveis pela sobrecarga ao invs da invaso?
1. DDos
2. SQL Injection
3. Shrink wrap code
4. Phishing Scan
5. Source Routing
68- A empresa Ypisilon foi invadida atravs do seu sistema de e-commerce. O ataque ocorreu
atravs do envio de informaes inconsistentes para um campo de entrada de dados da tela
principal do sistema. Neste caso, foi utilizado um ataque de:
1. Smurf
2. Fragmentao de Pacotes IP
3. Fraggle
4. Buffer Overflow

69- Porque as organizaes devem realizar auditorias internas do SGSI em intervalos

regulares?
1. Para determinar se os objetivos de controle, processos e incidentes atendem aos
requisitos da norma NBR ISO/IEC 27001.
2. Para determinar se os objetivos de controle, processos e procedimentos
atendem aos requisitos da norma NBR ISO/IEC 27001.
3. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos
da norma NBR ISO/IEC 27001.
4. Para determinar se os objetivos de ameaas, vulnerabilidades e procedimentos
atendem aos requisitos da norma NBR ISO/IEC 27001.
5. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos
requisitos da norma NBR ISO/IEC 27001.

70- Qual das opes abaixo NO correta quando tratamos do conceito de Permetro de
segurana e seus componentes ?
1. Redes No Confiveis - No possuem polticas de segurana.
2. Redes Confiveis - Localizadas no permetro de segurana da rede, portanto
necessitam de proteo
3. Redes No Confiveis - No possvel informar se necessitam de proteo.
4. Redes No Confiveis - No possuem controle da administrao.
5. Redes Desconhecidas - No possvel informar, de modo explcito, se a rede
confivel ou no confivel.

71- A norma NBR ISO/IEC 27002 orienta que a organizao no deve permitir a interrupo
das atividades do negcio e deve proteger os processos crticos contra efeitos de falhas ou
desastres significativos, e assegurar a sua retomada em tempo hbil. Neste caso a NBR
ISO/IEC 27002 est fazendo referncia a que tipo de ao de Segurana?
1. Controle de Acesso
2. Segurana Fsica e do Ambiente.
3. Gesto de Incidentes de Segurana da Informao
4. Gesto da Continuidade do Negcio
5. Gerenciamento das Operaes e Comunicaes

72- Voc est trabalhando em um projeto de classificao de informao e sua empresa

trabalho no ramo financeiro, onde a divulgao de determinadas informaes pode causar
danos financeiros ou imagem da sua empresa, alm de gerar vantagens aos concorrentes e
tambm possveis perda de clientes. Neste caso voc classificaria estas informaes em qual
nvel de segurana?
1. Confidencial.
2. Irrestrito.
3. Interna.
4. Pblica.
5. Secreta

73- Qual das opes abaixo apresenta o documento integrante da Poltica de Segurana da
Informao onde so especificados no plano ttico, as escolhas tecnolgicas e os controles
que devero ser implementados para alcanar a estratgia definida nas diretrizes?
1. Relatrio Estratgico.
2. Procedimentos.
3. Normas.
4. Manuais.
5. Diretrizes.
74- Qual das opes abaixo apresenta a Norma referente a gesto de Risco dentro da Famlia
ISO/IEC 27000 ?
1. ISO/IEC 27004
2. ISO/IEC 27005
3. ISO/IEC 27003
4. ISO/IEC 27002
5. ISO/IEC 27001

75- Nas estratgias contingncia implementadas pelas empresas, qual das opes abaixo
NO considerada uma estratgias de contingncia ?
1. Warm Site
2. Cold Site
3. Realocao de Operao
4. Hot Site
5. Small Site

76- As ameaas so agentes ou condies que causam incidentes que comprometem as

informaes e seus ativos por meio da explorao de vulnerabilidades . As ameaas
inconscientes, quase sempre causadas pelo desconhecimento podero ser classificadas
como:
1. Voluntrias.
2. Naturais.
3. Ocasionais.
4. Involuntrias.
5. Inconseqentes.

77- Podemos dizer que os controles que reduzem a probabilidade de uma ameaa se
concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo
assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na
organizao so consideradas:
1. Medidas Preventivas
2. Medidas Corretivas e Reativas
3. Mtodos Quantitativos
4. Mtodos Detectivos
5. Medidas Perceptivas

78- Existem diferentes caminhos que um atacante pode seguir para obter acesso aos
sistemas. Qual das opes abaixo No representa um destes tipos de ataques?
1. Ataque Aplicao
2. Ataque para Obteno de Informaes
3. Ataques Genricos
4. Ataque de Configurao mal feita
5. Ataque aos Sistemas Operacionais

79- Qual das opes abaixo apresenta a Norma referente a gesto de Risco dentro da Famlia
ISO/IEC 27000 ?
1. ISO/IEC 27003
2. ISO/IEC 27002
3. ISO/IEC 27004
4. ISO/IEC 27001
5. ISO/IEC 27005

80-Certificaes de organizaes que implementaram a NBR ISO/IEC 27001 um meio de

garantir que a organizao certificada:
1. implementou um sistema para gerncia da segurana da informao de acordo com os
desejos de segurana dos funcionrios e padres comerciais.
2. implementou um sistema para gerncia da segurana da informao de
acordo com os padres e melhores prticas de segurana reconhecidas no
mercado
 3. implementou um sistema para gerncia da segurana da informao de acordo com os
padres nacionais das empresas de TI.
4. implementou um sistema para gerncia da segurana da informao de acordo com os
padres de segurana de empresas de maior porte reconhecidas no mercado.
5. implementou um sistema para gerncia da segurana da informao de acordo
fundamentado nos desejos de segurana dos Gerentes de TI.

81-O Exploit um termo muito utilizado em segurana da informao. Qual das opes
abaixo descreve o que conceito de um Exploit ?
1. Um programa de computador, uma poro de dados ou uma sequncia de comandos
que se aproveita das ameaas de um sistema computacional.
2. Um programa de computador, uma poro de dados ou uma sequncia de comandos
para reduzir as ameaas de um sistema computacional.
3. Um programa de computador, uma poro de dados ou uma sequncia de
comandos que se aproveita das vulnerabilidades de um sistema
computacional.
4. Um programa de computador, uma poro de dados ou uma sequncia de comandos
que implementa vulnerabilidades em um sistema computacional.
5. Um programa de computador, uma poro de dados ou uma sequncia de comandos
que deve ser amplamente utilizado em um sistema computacional.

82- Na vulnerabilidade dos sistemas, o cavalo de troia e os applets mal intencionados so

exemplos de mtodos de ataque do tipo:
1. fraude de programao.
2. falhas humanas.
3. ameaas no intencionais.
4. adulterao de dados.
5. falhas do sistema computacional.

83- Um programa ou parte de um programa de computador, normalmente malicioso, que se

propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros
programas e arquivos de um computador pode ser descrito como sendo um:
1. vrus
2. backdoor
3. spyware
4. exploit
5. keylogger

84- Qual das Opes abaixo representa a ordem correta dos passos que um Atacante
normalmente segue para realizar um Ataque de Segurana :
1. Obteno, Levantamento, Explorao, Manuteno e Camuflagem
2. Obteno, Explorao, Levantamento, Manuteno e Camuflagem
3. Explorao, Levantamento, Obteno, Manuteno e Camuflagem
4. Levantamento, Explorao, Obteno, Manuteno e Camuflagem
5. Levantamento, Obteno, Explorao, Manuteno e Camuflagem

85- Joo e Pedro so administrador de sistemas de uma importante empresa e esto

instalando uma nova verso do sistema operacional Windows para mquinas servidoras.
Durante a instalao Pedro percebeu que existem uma srie de exemplos de cdigos j
prontos para serem executados, facilitando assim o trabalho de administrao do sistema.
Qual o tipo de ataque que pode acontecer nesta situao?
1. Shrink Wrap Code
2. Dumpster Diving ou Trashing
3. Phishing Scan
4. Smurf
5. Fraggle

86- De acordo com a afirmao O nvel de segurana requerido para obter cada um dos trs
princpios da CID difere de empresa para empresa, pois cada empresa possui uma
combinao nica de requisitos de negcio e de segurana, podemos dizer que:
 1. A afirmao ser somente verdadeira se as empresas forem de um mesmo mercado.
2. A afirmao somente falsa para as empresas privadas.
3. A afirmao falsa.
4. A afirmao somente verdadeira para as empresas privadas.
5. A afirmao verdadeira.

87- O papel estratgico dos sistemas de informao nas empresas cresce a cada dia. Qual das
opes abaixo no pode ser considerada como sendo um dos "Propsitos da Informao"
dentro das empresas e organizaes?
1. Habilitar a empresa a alcanar seus objetivos pelo uso eficiente dos equipamentos;
2. Habilitar a empresa a alcanar seus objetivos pelo uso eficiente da sua tecnologia;
3. Habilitar a empresa a alcanar seus objetivos de ineficcia nos processos;
4. Habilitar a empresa a alcanar seus objetivos pelo uso eficiente dos recursos
financeiros;
5. Habilitar a empresa a alcanar seus objetivos pelo uso eficiente dos recursos materiais;

88- Joo analista de segurana da empresa Ypisol e percebeu que algum est tentando
obter acesso rede atravs do envio de um grande nmero de requisies de conexo
(pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor est
tentando utilizar?
1. Fragmentao de pacotes IP
2. Port Scanning
3. SYN Flooding
4. Fraggle
5. Ip Spoofing
89- Como qualquer bem ou recurso organizacional, a informao tambm possui seu conceito
de valor est associado a um contexto. A informao ter valor econmico para uma
organizao se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso
contrrio poder ter pouco ou nenhum valor. Segundo os conceitos da Segurana da
Informao, onde devemos proteger as informaes?
1. Nos Riscos.
2. Nas Vulnerabilidades e Ameaas.
3. Nas Ameaas.
4. Nas Vulnerabilidades.
5. Nos Ativos .

90- Qual das opes abaixo completa a sentena: Quanto maior a probabilidade de uma
determinada ameaa ocorrer e o impacto que ela trar, maior ser _________.
1. A Vulnerabilidade do Ativo.
2. A Vulnerabilidade do Risco.
3. O risco associado a este incidente.
4. O valor do Impacto.
5. O risco associado a ameaa.

91- Antnio deseja obter informaes sigilosas de uma importante empresa da rea
financeira. Para isso implementou um programa que que ir coletar informaes pessoais e
financeiros da vtima. Para obter sucesso no ataque, Antnio ir induzir o acesso a pgina
fraudulenta atravs do envio de uma mensagem no solicitada. Neste caso estavamos nos
referindo ao ataque do tipo
1. SQL Injection
2. Phishing Scan
3. Source Routing
4. DDos
5. Shrink wrap code

92- Joo configurou nas mquinas servidoras da empresa que trabalha o servio de Log de
forma a registrar as operaes realizadas pelos usurios e servios do sistema. Neste caso,
Joo est implementando uma propriedade de segurana relacionada (o):
1. Integridade;
2. Confidencialidade;
 3. Disponibilidade;
4. Auditoria;
5. No-Repdio;

93- assimtricas, sendo uma delas pblica e a outra, privada, emitidas por autoridade
certificadora confivel. Uma mensagem ser enviada de Ana para Bernardo, satisfazendo s
seguintes condies:
1 - a mensagem deve ser criptografada de modo que no seja interceptvel no caminho;
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana;
3 - deve ser possvel continuar enviando mensagens, entre as 3 pessoas, que atendam s
condies anteriores.
A mensagem de Ana para Bernardo deve ser assinada
1. com a chave privada de Bernardo e criptografada com a chave pblica de Ana.
2. e criptografada com a chave pblica de Ana.
3. com a chave pblica de Ana e criptografada com a chave privada de Bernardo.
4. e criptografada com a chave privada de Bernardo.
5. com a chave privada de Ana e criptografada com a chave pblica de
Bernardo.

94- Segundo os conceitos de Segurana da Informao as protees so medidas que visam

livrar os ativos de situaes que possam trazer prejuzo. Neste contexto qual das opes
abaixo apresenta os tipos proteo possveis de serem aplicadas s organizaes?
1. Lgica, Administrativa e Contbil.
2. Administrativa, Contbil e Fsica.
3. Lgica, Fsica e Programada.
4. Administrativa, Fsica e Lgica.
5. Administrativa, Fsica e Programada.
95- A gesto do ciclo de vida da informao, no contexto da segurana da Informao, tem se
tornado um elemento fundamental para:
1. A gesto dos negcios da organizao .
2. A gesto da rea comercial.
3. A gesto de oramento.
4. A gesto do ciclo da informao interna.
5. A gesto dos usurios.

96- As ameaas propositais causadas por agentes humanos como hackers, invasores, espies,
ladres e etc. podero ser classificadas como:
1. Voluntrias
2. Tecnolgicas.
3. Globalizadas
4. Destrutivas
5. Insconsequentes

97- Quando um atacante deseja realizar uma invaso, a utilizao de rootkits, backdoors ou
trojans pode estar associada a qual dos passos realizados pelo Atacante?
1. Manuteno do Acesso.
2. Levantamento das Informaes.
3. Explorao das Informaes.
4. Obteno de Acesso
5. Camuflagem das Evidncias

98- Tendo em vista a mudana de paradigma no modo como as empresas e as pessoas

trabalham e a forma como a tecnologia da informao apia as operaes e processos das
empresas, qual das opes abaixo poder ser escolhida como sendo aquela que possui os
elementos fortemente responsveis por este processo?
1. O uso da internet para sites de relacionamento
2. O crescimento explosivo da internet e das suas respectivas tecnologias e
aplicaes
3. O crescimento explosivo dos cursos relacionados com a tecnologia da informao
4. O Aumento no consumo de softwares licenciados
 5. O crescimento explosivo da venda de computadores e sistemas livres

99- Alm de classificar as ameaas quando a sua intencionalidade, tambm podemos

classific-las quanto a sua origem, neste caso quais das opes abaixo apresenta a
classificao quanto a origem para as ameaas ?
1. Secreta e Oculta
2. Conhecida e Externa
3. Secreta e Externa
4. Interna e Externa
5. Interna e Oculta

100- A anlise de vulnerabilidade permite que os profissionais de segurana e TI da empresa

possam ter maior conhecimento do ambiente de TI e seus problemas. Qual das opes abaixo
no um exemplo de teste de vulnerabilidade lgica em maquinas de uma rede alvo?
1. Aplicativos instalados.
2. Rudos eltricos na placa wireless.
3. Os Sistemas operacionais utilizados.
4. Patches e service packs aplicados.
5. Verificar as portas do protocolo TCP/IP que se encontram desprotegidas (abertas).

101- Qual das opes abaixo apresenta o documento integrante da Poltica de Segurana da
Informao onde so detalhadas no plano operacional, as configuraes de um determinado
produto ou funcionalidade que devem ser feitas para implementar os controles e tecnologias
estabelecidas pela norma.
1. Diretrizes.
2. Normas.
3. Manuais.
4. Procedimentos.
5. Relatrio Estratgico.

102- A organizao deve analisar criticamente seu SGSI em intervalos planejados para
assegurar a sua contnua pertinncia, adequao, eficcia, oportunidade de melhoria ou
necessidade de mudanas. Qual das opes abaixo No poder ser considerada como um
elemento para a realizao desta anlise:
1. Os resultados das auditorias anteriores e anlises crticas;
2. A avaliao das aes preventivas e corretivas;
3. A avaliao dos riscos e incidentes desejados;
4. Vulnerabilidades ou ameaas no contempladas adequadamente nas
anlise/avaliaes de risco anteriores;
5. A realimentao por parte dos envolvidos no SGSI.

103- A utilizao de crachs de identificao de colaboradores numa organizao est

fundamentalmente associado a que tipo de proteo ?
1. Recuperao .
2. Preventiva.
3. Reao.
4. Limitao.
5. Correo.

104- Como qualquer bem ou recurso organizacional, a informao tambm possui seu
conceito de valor . Neste contexto qual das opes abaixo indica o tipo de valor da
informao que pode ser atribudo ao seguinte conceito: o quanto o usurio est disposto
a pagar, conforme as leis de mercado (oferta e demanda).
1. Valor de restrio.
2. Valor de troca .
3. Valor de utilidade.
4. Valor de propriedade.
5. Valor de uso.
105-O que ocorre quando uma ameaa explora uma ou mais vulnerabilidades de um ativo
segundo os conceitos da Segurana da Informao?
1. Uma falha na ameaa do ativo.
2. Um acidente de Segurana da Informao.
3. Uma tentativa de Segurana.
4. Um Incidente de Segurana.
5. Um tratamento de vulnerabilidades

106- Qual das ameaas abaixo no uma funo diretiva primria realizada por um Spyware?
1. Monitoramento de URLs acessadas enquanto o usurio navega na Internet
2. Alterao da pgina inicial apresentada no browser do usurio;
3. Captura de outras senhas usadas em sites de comrcio eletrnico;
4. Alterao ou destruio de arquivos;
5. Captura de senhas bancrias e nmeros de cartes de crdito

107- Se um invasor mal intencionado desejasse utilizar de uma ferramenta para mapear
potenciais vulnerabilidades em computadores, assegurar o acesso futuro a estes
computadores e remover as evidncias de suas aes, qual ferramenta (malware) ele
utilizaria como sendo a mais eficaz dentre as apresentadas na opes abaixo ?
1. Bot
2. Rootkit
3. Spyware
4. Worm
5. Adware

108- O valor da informao para as empresas considerado, na atualidade, como algo

imensurvel. Nos ltimos anos, a demanda gradual por armazenamento de conhecimento
tem levado necessidade de administrao desses dados de forma confivel. Neste contexto
qual das opes abaixo poder definir melhor o conceito de Dado?
1. Elemento identificado em sua forma bruta e que por si s conduz a varias
compreenses de fatos ou situaes.
2. Elemento identificado em sua forma trabalhada e que por si s conduz a vrias
compreenses de fatos e situaes.
3. Elemento no identificado e que por si s no conduz a uma compreenso de
determinado fato ou situao.
4. Elemento identificado em sua forma trabalhada que por si s no conduz a uma
compreenso de determinado fato ou situao.
5. Elemento identificado em sua forma bruta e que por si s no conduz a uma
compreenso de determinado fato ou situao.

109- O programa que capaz de capturar e armazenar as teclas digitadas pelo usurio no
teclado de um computador que podem ser desde o texto de um e-mail, at informaes mais
sensveis, como senhas bancrias e nmeros de cartes de crdito conhecido como:
1. backdoor
2. Virus
3. Spyware
4. Keylogger
5. Exploit

110- Joo coordena a rea de segurana na empresa XPTO e tem conhecimento de que a
negligncia por parte dos administradores de rede e a falta de conhecimento tcnico de
alguns usurios so exemplos tpicos de vulnerabilidade. Por conta disso implementou
medidas que impedem a configurao e a instalao indevidas de programas de
computador/sistemas operacionais que poderiam levar ao uso abusivo dos recursos por parte
de usurios mal-intencionados e que neste caso representam exemplos de vulnerabilidade :
1. De hardware;
2. Natural;
3. Humana;
4. De Software;
5. De Mdia;
111-Qual das opes abaixo descreve um tipo de ataque que consiste em enviar um
excessivo nmero de pacotes PING para o domnio de broadcast da rede? Neste tipo de
ataque o endereo de origem utilizado o endereo IP da vtima desejada, de forma que
todos os hosts do domnio de broadcast iro responder para este endereo IP , que foi
mascarado pelo atacante.
1. Phishing Scan
2. Shrink Wrap Code
3. Dumpster Diving ou Trashing
4. Smurf
5. Fraggle

112- As vulnerabilidades esto presentes no dia-a-dia das empresas e se apresentam nas

mais diversas reas de uma organizao, a todo instante os negcios, seus processo e ativos
fsicos, tecnolgicos e humanos so alvos de investidas de ameaas de toda ordem. Qual das
opes abaixo descreve o melhor conceito de Vulnerabilidade na tica da Segurana da
Informao?
1. Fragilidade presente ou associada a ativos que exploram ou processam informaes .
2. Impacto presente ou associada a ativos que manipulam ou processam informaes.
3. Ameaa presente ou associada a ativos que manipulam ou processam informaes.
4. Fragilidade presente ou associada a ameaas que manipulam ou processam
informaes .
5. Fragilidade presente ou associada a ativos que manipulam ou processam
informaes

113- A utilizao inadequadas dos dispositivos de armazenamento das informaes, podem

deixar seu contedo vulnervel a uma srie de fatores que podero afetar a integridade, a
disponibilidade e a confidencialidade das informaes. Este tipo de vulnerabilidade
classificada como:
1. Hardware;
2. Mdia;
3. Humana;
4. Software;
5. Comunicao;

114- Qual opo abaixo representa a descrio do Passo Manuteno do Acesso dentre
aqueles que so realizados para um ataque de segurana ?
1. O atacante procura coletar o maior nmero possvel de informaes sobre o alvo em
avaliao.
2. O atacante de tentar camuflar seus atos no autorizados com o objetivo de prolongar
sua permanncia.
3. O atacante penetra do sistema para explorar vulnerabilidades encontradas. sistema.
4. O atacante tenta manter seu prprio domnio sobre o sistema.
5. O atacante explora a rede baseado nas informaes obtidas na fase de reconhecimento

115- Quando devem ser executadas as aes corretivas?

1. Devem ser executadas para garantir as causas da no-conformidade com os requisitos
do SGSI de forma a evitar a sua repetio
2. Devem ser executadas para garantir as causas da conformidade com os requisitos do
SGSI de forma a evitar a sua repetio
3. Devem ser executadas somente para eliminar o resultado da no-conformidade com os
requisitos do SGSI de forma a evitar a sua repetio
4. Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de
forma a evitar a sua repetio
5. Devem ser executadas para eliminar as causas da no-conformidade com os
requisitos do SGSI de forma a evitar a sua repetio

116- Alm da anlise de vulnerabilidade tambm muito importante que o profissional de TI

periodicamente realize uma pesquisa de vulnerabilidade . Qual das opes abaixo define o
conceito de Pesquisa de Vulnerabilidades?
 1. Descobrir as vulnerabilidades essenciais para o funcionamento de um sistema.
2. Descobrir quais usurios esto cadastrados na rede.
3. Descobrir as ineficincias de um sistema de cadastro.
4. Descobrir as falhas de ameaas que devem ser utilizadas num produto.
5. Descobrir as falhas e deficincias em um produto ou aplicao que podem
comprometer a segurana.

117- Qual das opes abaixo representa o tipo de Mtodo utilizado para a anlise e avaliao
dos riscos onde so utilizados termos numricos para os componentes associados ao risco.
1. Mtodo Numrico.
2. Mtodo Classificatrio.
3. Mtodo Exploratrio.
4. Mtodo Qualitativo.
5. Mtodo Quantitativo.

118- A organizao deve executar aes para melhorar continuamente a eficcia do SGSI.
Estas aes ocorrem atravs: do uso da poltica de segurana, dos objetivos de segurana,
resultados de auditorias, da anlise dos eventos monitorados e atravs de aes:
1. Corretivas e Preventivas.
2. Corretivas e Corrigidas.
3. Preveno e Preventivas.
4. Corrigidas e Preventivas.
5. Corretivas e Correo.

119- Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo
de de um ataque DDoS e foi descrito como o maior j sofrido pela empresa. C omo resultado
desse ataque, quase 18 MILHES de blogs, incluindo os que fazem parte do servio VIP da
empresa sofreram com problemas nos acessos. Entre eles, esto inclusos o Financial Post, o
Nacional Post e o TechC runch. O tamanho ataque alcanou vrios Gigabits por segundo e
alguns milhes de pacotes por segundo. Apesar do ataque ter atingido trs data centers do
Wordpress, a investigao suspeita que o ataque tenha tido motivaes polticas e o alvo
tenha sido um blog.
Qual voc acha que foi a vulnerabilidade para este ataque?
1. Vulnerabilidade Fsica
2. Vulnerabilidade Mdias
3. Vulnerabilidade C omunicao
4. Vulnerabilidade Natural
5. Vulnerabilidade Software
120- instalaes fsicas a rea de desenvolvimento de sistemas. O prazo de retorno para as
atividades neste local fsico ser de pelo menos 15 dias, o que acarretar no estouro do prazo
dos projetos j em andamento. A empresa Y foi contratada para realizar o servio de
desenvolvimento enquanto as instalaes fsicas da re de desenvolvimento no fica
operacional. Neste caso qual a estratgia de contingenciamento que est sendo aplicada?
1. Hot-site
2. Realocao de operao
3. C old-site
4. Bureau de service
5. Acordo de reciprocidade

121- Segundo a NBR ISO/IEC 27002 a poltica de segurana pode ser parte de um documento
da poltica geral.
Normalmente o documento de poltica geral dividido em vrios documentos. Qual das
opes abaixo apresenta um conjunto tpico destes documentos?
1. Diretrizes; Manuais e Procedimentos
2. Diretrizes; Normas e Procedimentos
3. Manuais; Normas e Procedimentos
4. Manuais; Normas e Relatrios
5. Diretrizes; Normas e Relatrios
122- Como qualquer bem ou recurso organizacional, a informao tambm possui seu
conceito de valor . Qual das opes abaixo indica o tipo de valor da informao que pode
ser atribudo ao seguinte conceito: Surge no caso de informao secreta ou de interesse
comercial, quando o uso fica restrito a apenas
algumas pessoas.
1. Valor de uso.
2. Valor de troca.
3. Valor de negcio.
4. Valor de restrio.
5. Valor de propriedade.

123- Voc precisa elaborar um relatrio com o resultado da anlise de vulnerabilidades que
foi realizada na sua empresa. Voc percebeu que no levantamento das vulnerabilidades do
ambiente de TI foram encontradas inconsistncias. Qual das opes abaixo no pode ser
considerada como um exemplo de um tipo de vulnerabilidade que pode ser encontrada num
ambiente de TI?
1. Fraqueza de segurana/falhas nos scripts que executam nos servidores web.
2. Falhas nas implementaes de segurana nos compartilhamentos de rede e arquivos.
3. Falha na transmisso de um arquivo por uma eventual queda de energia.
4. Falhas nos softwares dos equipamentos de comunicaes.
5. Fraqueza nas implementaes de segurana dos sistemas operacionais/aplicativos.

124- Voc est trabalhando em um projeto de segurana e deseja implementar mecanismos

de segurana contra as ameaas que so capazes de armazenar a posio do cursor e a tela
apresentada no monitor, nos momentos em que o mouse clicado. Neste caso podemos
classificar esta ameaa como sendo um:
1. Screensavers
2. Screenloggers
3. Keyloggers
4. Screenware
5. Cavalo de tria

125- Como no existe uma nica causa para o surgimento das vulnerabilidades, diferentes
tipos de vulnerabilidade podem estar presente em diversos ambientes computacionais. Neste
sentido qual das opes abaixo no representa um exemplo de tipo de vulnerabilidade?
1. Hardware.
2. Vrus.
3. Humana.
4. Mdia.
5. Natural.

126- Um tipo de software especificamente projetado para apresentar propagandas, seja

atravs de um browser, seja atravs de algum outro programa instalado em um computador
pode ser descrito como sendo um:
1. Worm
2. Spyware
3. Java Script
4. Active-x
5. Adware

127- No contexto da Segurana da Informao, a medida que indica a probabilidade de uma

determinada ameaa se concretizar, combinada com os impactos que ela trar est
relacionada com qual conceito de?
1. Impacto.
2. Risco.
3. Ameaa.
4. Vulnerabilidade.
5. Valor.
128- Qual opo abaixo representa a descrio do Passo Levantamento das
Informaes dentre aqueles que so realizados para um ataque de segurana ?
1. O atacante tenta manter seu prprio domnio sobre o sistema
2. O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema.
3. O atacante procura coletar o maior nmero possvel de informaes sobre o
"alvo em avaliao".
4. O atacante explora a rede baseado nas informaes obtidas na fase de reconhecimento
5. O atacante de tentar camuflar seus atos no autorizados com o objetivo de prolongar
sua permanncia.

129- Qual opo abaixo representa a descrio do Passo Levantamento das Informaes
dentre aqueles que so realizados para um ataque de segurana ?
1. A atacante tenta manter seu prprio domnio sobre o sistema
2. O atacante de tentar camuflar seus atos no autorizados com o objetivo de prolongar
sua permanncia.
3. O atacante procura coletar o maior nmero possvel de informaes sobre o
"alvo em avaliao".
4. O atacante explora a rede baseado nas informaes obtidas na fase de reconhecimento
5. O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema.

130- Como no existe uma nica causa para o surgimento das vulnerabilidades, diferentes
tipos de vulnerabilidade podem estar presente em diversos ambientes computacionais. Qual
das opes abaixo"NO" representa um exemplo de tipo de vulnerabilidade?
1. Fsica
2. Comunicao
3. Humana
4. Natural
5. Administrativa

131-Suponha que um invasor mal intencionado desejasse observar o padro das mensagens
enviadas, de forma a poder determinar o local e a identidade dos envolvidos na comunicao
e ainda observar a frequncia e o tamanho das mensagens trocadas. Qual o tipo de ataque
ele utilizaria dentre as opes apresentadas abaixo ?
1. Ativo - anlise de trfego
2. Passivo - interceptao do contedo da mensagem (liberao)
3. Ativo - interceptao do contedo da mensagem (liberao)
4. Passivo - anlise de trfego
5. Ativo - Repetio da mensagem

132- Voc um consultor de segurana e trabalha em projetos de segurana da informao,

que tem como uma das suas etapas a atividade de classificao dos ativos da organizao.
Qual das opes abaixo no representa um exemplo de Ativo Intangvel:
1. Confiabilidade de um Banco.
2. Marca de um Produto.
3. Sistema de Informao.
4. Qualidade do Servio.
133- Voc trabalha na equipe de gesto de risco da sua empresa e tem percebido que mesmo
aps todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma
poro de risco que no eliminada. Neste caso estamos nos referindo a que tipo de risco:
1. Risco real;
2. Risco verdadeiro;
3. Risco residual;
4. Risco percebido;
5. Risco tratado;

134- Qual das opes abaixo no representa uma das etapas da Gesto de Risco:
1. Manter e melhorar os riscos identificados nos ativos
2. Identificar e avaliar os riscos.
3. Verificar e analisar criticamente os riscos.
4. Selecionar, implementar e operar controles para tratar os riscos.
 5. Manter e melhorar os controles

135- As Ameaas decorrentes de fenmenos da natureza, como incndios naturais,

enchentes, terremotos e etc. podero ser classificadas como:
1. Globalizadas.
2. Da natureza.
3. Ocasionais.
4. Naturais.
5. Destrutivas.

136- Os possveis defeitos de fabricao ou configurao dos equipamentos das empresas

que podem permitir o ataque ou a alterao dos mesmos so classificados como
vulnerabilidades de:
1. Hardware;
2. Mdia;
3. Software;
4. Comunicao;
5. Humana;

137- Aps conseguir realizar o levantamento das informaes da empresa XPTO e acessar o
servidor de banco de dados com as informaes dos clientes da organizao. Pedro, o invasor,
tenta esconder seus atos no autorizados com o objetivo de prolongar sua permanncia de
acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste caso, Pedro est em que
passo da metodologia de um ataque?
1. Explorao das Informaes
2. Obteno de Acesso
3. Camuflagem das Evidncias
4. Divulgao do Ataque
5. Levantamento das Informaes

138- Qual dos exemplos abaixo no pode ser considerado como sendo claramente um cdigo
malicioso ou Malware?
1. worm
2. trojan horse
3. active-x
4. keyloggers
5. rootkit

139- Qual das opes abaixo refere-se ao conceito definido pela RFC 2828 do Internet
Security Glossary : Potencial para violao da segurana quando h uma circunstncia,
capacidade, ao ou evento que pode quebrar a segurana e causar danos .
1. Ameaa.
2. Confidencialidade.
3. Incidente.
4. Vulnerabilidade.
5. Impacto.
140- A norma NBR ISO/IEC 27002 orienta que a organizao deve prevenir o acesso fsico no
autorizado, danos e interferncias com as instalaes e informaes da organizao. Neste
caso a NBR ISO/IEC 27002 est fazendo referencia a que tipo de ao de Segurana:
1. Controle de Acesso.
2. Gerenciamento das Operaes e Comunicaes.
3. Segurana dos Ativos.
4. Segurana Fsica e do Ambiente.
5. Segurana em Recursos Humanos.

141- Qual das opes abaixo demonstra a seqncia correta de elementos e eventos que
fazem parte de um processo de anlise da Segurana da Informao?
1. As Ameaas exploram as Vulnerabilidades ocorrendo em Incidentes de
Segurana que afetam os processos de negcio resultando em Impactos para
as organizaes.
 2. As Ameaas exploram os Incidentes ocorrendo em Ativos de Segurana que afetam os
processos de negcio resultando em Vulnerabilidades para as organizaes.
3. Os Ativos exploram as Vulnerabilidades ocorrendo em Incidentes de Segurana que
afetam os processos de negcio resultando em Controles para as organizaes.
4. Os Ativos exploram as Vulnerabilidades ocorrendo em Controles de Segurana que
afetam os processos de negcio resultando em Impactos para as organizaes.
5. As Ameaas exploram os Incidentes ocorrendo em Vulnerabilidades de Segurana que
afetam os processos de negcio resultando em Impactos para as organizaes.

142- Voc trabalha na rea de segurana da sua empresa e com objetivo de reduzir os riscos
na rea de Banco de Dados, pretende instalar dispositivos de autenticao de acesso fsico,
que ser implementado atravs de dispositivo biomtrico. Neste caso que tipo de barreira
voc est implementando?
1. Desencorajar
2. Discriminar
3. Deter
4. Dificultar

143- O processo de identificar as protees existentes e ausentes, identificar falhas nas

existentes e levantar dados que possam prever a efetividade desse conjunto de protees
pode ser descrito em qual das opes abaixo?
1. Ativo
2. Anlise de Vulnerabilidade
3. Analise de Escopo
4. Ameaa
5. Analise de Incidente

144- Voc est trabalhando em um projeto de segurana e necessita identificar os principais

tipos de ameaas que podem comprometer a segurana da informao na sua empresa.
Foram detectados em algumas mquinas programas que permitem o retorno de um invasor a
um computador comprometido utilizando servios criados ou modificados para este fim e sem
precisar recorrer aos mtodos utilizados na invaso. Neste caso podemos classificar esta
ameaa como sendo um:
1. Bots
2. Backdoor
3. Worm
4. Virus
5. Spyware

145- Voc trabalha na rea de administrao de rede est percebendo que a rede tem
apresentado um comportamento diferente do normal. Voc desconfia que possam estar
ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o
levantamento peridico do que est ocorrendo no trfego da rede. Neste caso voc ir
utilizar:
1. Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede;
2. Um detector de intruso para realizar a anlise do trfego da rede;
3. Um sniffer de rede, para analisar o trfego da rede;
4. Um analisador de protocolo para auxiliar na anlise do trfego da rede;
5. Um filtro de pacotes, para verificar quais pacotes esto sendo verificados pelos firewall;

146- Podemos afirmar que um Ataque pode ser derivado de uma ameaa inteligente, ou seja,
a tentativa deliberada de burlar os servios de segurana e violar a poltica de segurana de
um sistema?
1. No, a afirmao falsa, esta a afirmao de uma vulnerabilidade.
2. No, a afirmao falsa, pois um ataque no derivado de uma ameaa
3. A afirmao verdadeira, pois um ataque derivado de uma ameaa
inteligente
4. A afirmao falsa pois este tipo de ataque no existe.
5. A afirmao s seria verdadeira se a ameaa no fosse inteligente
147- Paulo consultor de uma empresa de segurana e foi contratado para desenvolver a
poltica de segurana da empresa Blue. Nesta fase do projeto Paulo necessita elaborar
documento, integrante da Poltica de Segurana da Informao, onde dever detalhar as
configuraes operacionais da rotina de Backup da empresa. Neste caso Paulo estar
elaborando:
1. Manuais.
2. Normas.
3. Diretrizes.
4. Relatrio Estratgico.
5. Procedimentos.

148- So consideradas as principais causas das ocorrncias de incidentes de segurana:

1. Vulnerabilidades
2. Ataques
3. Informaes
4. Pessoas
5. Ameaas

149- Cada empresa ao tratar segurana da informao e independentemente de sua rea de

negcio e dos objetivos de segurana que deseje, normalmente ir utilizar um ou os trs
princpios considerados como fundamentais para atingir os objetivos da Segurana da
Informao:
1. Confidencialidade, Descrio e Integridade.
2. Confidencialidade, Indisponibilidade e Integridade.
3. Confidencialidade, Disponibilidade e Integridade.
4. Confiabilidade, Disponibilidade e Integridade.
5. Confiabilidade, Disponibilidade e Intencionalidade.

150- Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmisses?

1. Fraco
2. Passivo
3. Forte
4. Secreto
5. Ativo

151- Em meio a tantas mudanas tecnolgicas, sociolgicas e comportamentais surgem

tambm muitos desafios de negcios e gerenciais no desenvolvimento e implementao de
novos usos da tecnologia da informao em uma empresa. Neste contexto qual o objetivo
fundamental da Segurana da Informao?
1. Visam proteo alguns poucos ativos de uma empresa que contm informaes.
2. Visa proteo dos equipamentos de uma empresa que contm informaes.
3. Visa principalmente proteo dos ativos patrimoniais que contm informaes.
4. Visa proteo, com o foco na internet da empresa, dos ativos que contm
informaes.
5. Visa proteo de todos os ativos de uma empresa que contm informaes.

152- Segundo os princpios da Segurana da Informao, qual das opes abaixo representa
melhor o conceito de Ativos de Informao?
1. So aqueles que produzem, processam, renem ou expem informaes.
2. So aqueles tratam, administram, isolam ou armazenam informaes.
3. So aqueles que produzem, processam, transmitem ou armazenam
informaes.
4. So aqueles que organizam, processam, publicam ou destroem informaes.
5. So aqueles que constroem, do acesso, transmitem ou armazenam informaes.

153- A informao tambm possui seu conceito de valor e que est associado a um contexto,
podendo gerar lucros ou ser alavancadora de vantagem competitiva e at mesmo possuir
pouco ou nenhum valor. No contexto da segurana da informao o que consiste o processo
de classificao da informao ?
 1. Identificar quais so os nveis de proteo que as informaes demandam e
estabelecer classes e formas de identific-las, e determinar os controles de
proteo para cada uma delas.
2. Identificar quais so os nveis de vulnerabilidades que as informaes demandam e
estabelecer classes e formas de identific-las, e determinar os riscos de proteo para
cada uma delas.
3. Identificar quais so os nveis de ameaas que as informaes demandam e
estabelecer classes e formas de identific-las, e determinar os controles de proteo
para cada uma delas.
4. Identificar quais so os nveis de proteo que as informaes demandam e
estabelecer classes e formas de identific-las, e determinar as ameaas de proteo
para cada uma delas.
5. Identificar quais so os nveis de vulnerabilidades que as informaes demandam e
estabelecer classes e formas de identific-las, e determinar os controles de proteo
para cada uma delas.

154- O que ocorre quando uma ameaa explora uma ou mais vulnerabilidades de um ativo
segundo osvconceitos da Segurana da Informao?
1. Um Incidente de Segurana.
2. Uma tentativa de Segurana.
3. Um tratamento de vulnerabilidades.
4. Uma falha na ameaa do ativo.
5. Um acidente de Segurana da Informao.

155- Marcelo analista de suporte da empresa X e est responsvel pela instalao dos
equipamentos de rede. Durante a instalao do novo roteador, Marcelo saiu para tomar um
caf e no percebeu que ocorreram vrios erros na instalao do equipamento. Neste caso
ocorreu um exemplo de vulnerabilidade :
1. Humana;
2. Natural;
3. De hardware;
4. De Mdia;
5. De Software;
6.
156- Voc est alocado a um projeto de segurana da informao, que tem em uma das suas
etapas a atividade de classificao dos ativos da organizao. Qual das opes abaixo no
representa um exemplo de Ativo Tangvel:
1. Sistemas.
2. Marca de um Produto.
3. Mveis.
4. Documentos .
5. Pessoas.

157- Voc trabalha em uma empresa de comrcio eletrnico e descobriu que seu concorrente
est tentando prejudicar os negcios de sua empresa atravs de um ataque DDoS. Como
voc classificaria este ataque:
1. Forte
2. Fraco
3. Secreto
4. Ativo
5. Passivo
6.
158- As ameaas so agentes ou condies que causam incidentes que comprometem as
informaes e seus ativos por meio da explorao de vulnerabilidades. Qual das opes
abaixo apresenta as possveis classificaes das ameaas quanto a sua intencionalidade?
1. Ocasionais, Involuntrias e Obrigatrias.
2. Naturais, Voluntarias e Obrigatrias.
3.

4. Naturais, Voluntarias e Vulnerveis.

 5. Naturais, Involuntrias e Voluntarias.
6. Naturais, Involuntrias e Obrigatrias.

159- O ciclo de vida de uma informao composto e identificado pelos momentos vividos
pela informao que a colocam em risco. Qual das opes abaixo apresenta os momentos
vividos pela informao dentro do conceito do Ciclo da Informao ?
1. Manuseio, Armazenamento, Transporte e Guarda.
2. Manuseio, Armazenamento, Transporte e Descarte.
3. Manuseio, Armazenamento, Utilizao e Descarte.
4. Troca, Armazenamento, Transporte e Descarte.
5. Manuseio, Leitura, Transporte e Descarte.

160- Voc o administrador de rede de um grande empresa e para complementar a

implementao da Segurana da Informao em sua organizao voc instalou uma soluo
de antivrus, que neste caso est fundamentalmente associado a que tipo de proteo ?
1. Reao
2. Deteco
3. Limitao
4. Preventiva
5. Correo

161- Quando devem ser executadas as aes preventivas, no contexto de um SGSI (Sistema
de Gesto de Segurana da Informao)?
1. Devem ser executadas para determinar as causas de conformidades potenciais com os
requisitos do SGSI, de forma a garantir a sua ocorrncia.
2. Devem ser executadas para eliminar as causas de no-conformidades
potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrncia.
3. Devem ser executadas para garantir as causas de no-conformidades potenciais com
os requisitos do SGSI, de forma a evitar a sua ocorrncia.
4. Devem ser executadas para determinar as causas de no-conformidades potenciais
com os requisitos do SGSI, de forma a evitar a sua ocorrncia.
5. Devem ser executadas para eliminar as causas de conformidades potenciais com os
requisitos do SGSI, de forma a garantir a sua ocorrncia.

162- Para que um ataque ocorra normalmente o atacante dever seguir alguns passos at o
seu objetivo, qual das opes abaixo No representa um destes passos?
1. Obteno de Acesso
2. Camuflagem das Evidencias
3. Divulgao do Ataque
4. Levantamento das Informaes
5. Explorao das Informaes

163- Existe uma srie de fatores que impactam na segurana de uma organizao. A ausncia
de um mecanismo de
proteo ou falhas em um mecanismo de proteo existente est relacionada com o conceito
de?
1. Vulnerabilidade.
2. Risco.
3. Valor.
4. Impacto.
5. Ameaa.

164- A NBR ISO/IEC 27002 orienta que a organizao assegurar que funcionrios,
fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus
papis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. Neste
caso a NBR ISO/IEC 27002 est fazendo referencia a que tipo de ao de Segurana:
1. Segurana dos Ativos.
2. Gerenciamento das Operaes e Comunicaes.
3. Controle de Acesso.
4. Segurana Fsica e do Ambiente.
 5. Segurana em Recursos Humanos.
Abertas
No contexto da segurana da informao , defina os conceitos de Ativo, Vulnerabilidade e
Ameaa.
RESPOSTA:
Ativo: qualquer coisa que tenha valor para a organizao. Vulnerabilidade: A
ausncia de um mecanismo de proteo ou falhas em um mecanismo de proteo
existente. Ameaa: Evento que tem potencial em si prprio para comprometer os
objetivos da organizao, seja trazendo danos diretos aos ativos ou prejuzos
decorrentes de situaes inesperadas.

No mbito da segurana da Informao, uma das etapas de implementao a classificao

da Informao. Em que consiste o processo de classificao da Informao?
RESPOSTA: O processo de classificao da informao consiste em identificar quais
so os nveis de proteo que as informaes demandam e estabelecer classes e
formas de identific-las, alm de determinar os controles de proteo a cada uma
delas.

Entre os tipos de ataques existentes, descreva as diferenas entre um ataque do tipo Fraggle
e do tipo Smurf.
Gabarito: Um ataque do tipo Fraggle consitem no envio de um excessivo nmero de
pacotes PING para o domnio de broadcast da rede, tendo como endereo IP de
origem, a vtima desejada. Dessa forma todos os hosts do domnio de broadcast
iro responder para o endereo IP da vtima, que foi mascarado pelo atacante,
ficando desabilitada de suas funes normais. J um ataque do tipo smurf
idntico ao atque Fraggle, alterando apenas o fato que utiliza-se de pacotes do
protocolo UDP.

Entre os tipos de ataques existentes, descreva as diferenas entre um ataque do tipo SQL
Injection e um ataque
de Buffer Overflow?
Gabarito: Ataque do tipo SQL Injection um tipo de ataque que se aproveita de
falhas em sistemas que interagem com bases de dados atravs da utilizao de
SQL. A injeo de SQL ocorre quando o atacante consegue inserir uma srie de
instrues SQL dentro de uma consulta (query) atravs da manipulao das
entrada de dados de uma aplicao. J o ataque de Buffer overflow consiste em
enviar para um programa que espera por uma entrada de dados qualquer,
informaes inconsistentes ou que no esto de acordo com o padro de entrada
de dados.

Dado o carter abstrato e intangvel da informao, seu valor est associado a um contexto. A
informao ter valor econmico para uma organizao se ela gerar lucros ou se for
alavancadora de vantagem competitiva, caso contrrio poder ter pouco ou nenhum valor.
Neste sentido descreva o ciclo de vida da informao, identificando os momentos vividos pela
informao.
Gabarito: Manuseio: Momento em que a informao criada e manipulada.
Armazenamento: Momento em que a informao armazenada. Transporte:
Momento em que a informao transportada. Descarte: Momento em que a
informao descartada.

Um Analista de segurana dever ter familiaridade com as ferramentas, tcnicas, estratgias

e metodologias de ataques conhecidos para que possa desta forma contribuir com a definio
correta de quais contramedidas devero ser adotadas pela organizao. Descreva os cinco
passos utilizados pelos atacantes para realizar um ataque:
Gabarito:
1- Levantamento das informaes: fase de reconhecimento uma fase preparatria
onde o atacante procura coletar o maior nmero possvel de informaes sobre o
alvo em avaliao antes do lanamento do ataque. Podem ser: ativo e passivo.
2- Explorao das informaes (scanning): Fase onde o atacante explora a rede
baseado nas informaes obtidas na fase de reconhecimento. Pode ser considerado
uma fase de pr-ataque envolve a utilizao de diferentes tcnicas e softwares,
como por exemplo, a utilizao de port scan, scanner de vulnerabilidade e network
mapping. 3- Obteno do acesso: Esta fase consiste na penetrao do sistema
propriamente dita. Nesta fase so exploradas as vulnerabilidades encontradas no
sistema. Isto pode ocorrer atravs da internet, da rede local, fraude ou roubo.
Nesta fase o atacante poder obter acesso a nvel de: sistema operacional,
aplicao e rede.
4- Manuteno do acesso: Nesta fase o atacante tenta manter seu prprio domnio
sobre o sistema. Poder tambm protge-lo de outros atacantes atravs da
utilizao de acessos exclusivos obtidos atravs de rootkits, backdoors ou
trojans.
5- Camuflagem das evidncias: Consiste na atividade realizada pelo atacante de
tentar camuflar seus atos no autorizados com o objetivo de prolongar sua
permanncia na mquina hospedeira, na utilizao indevida dos recursos
computacionais

Identificar as vulnerabilidades que podem contribuir para as ocorrncias de incidentes de

segurana um aspecto importante na identificao de medidas adequadas de segurana.
Qual a diferena entre anlise de vulnerabilidade, teste de vulnerabilidade e pesquisa de
vulnerabilidade?
Gabarito: Anlise vulnerabilidade: Verificar a existncia de falhas de segurana no
ambiente de TI das empresas. Teste de vulnerabilidade: Determinao de que
falhas de segurana podem ser aplicadas mquina ou rede alvo. Pesquisa de
vulnerabilidade: Significa descobrir as falhas e deficincia em um produto ou
aplicao que podem comprometer a segurana.