Escolar Documentos
Profissional Documentos
Cultura Documentos
Questões Gestao Segurança Informação
Questões Gestao Segurança Informação
chamamos de:
1) Ameaa
2) Vulnerabilidade
3) Impacto
4) Risco
9- So tipos de vulnerabilidades:
1) humana, hardware, software, natural;
2) pessoal, tecnolgica, natural, social;
3) tcnica, estratgica, operacional e administrativa;
4) baixa, mdia, alta e complexa;
10- As vulnerabilidades por si s no provocam incidentes, pois so elementos passivos,
necessitando para tanto de _________________ou uma condio favorvel que so
__________________.
1) um agente causador, as ameaas;
2) um software, falhas de segurana;
3) um elemento ativo, os exploits;
4) ameaas, falhas de segurana
18- Baseado no conceito de que as protees so medidas que visam livrar os ativos de
situaes que possam trazer prejuzo e que podemos classific-las de acordo com a sua ao
e o momento em que ocorre, qual das opes abaixo no corresponde classificao das
protees de acordo com a sua ao e o momento na qual ela ocorre?
1. Preventivas.
2. Correo.
3. Destrutivas.
4. Deteco .
5. Desencorajamento.
19- Para auxiliar no processo de classificao das informaes das organizaes, podemos
utilizar que ferramenta?
1. Uma Analise Quantitativa dos nveis Alto, Mdio e Baixo das Informaes.
2. Uma Matriz que utilize nveis Alto, Mdio e Baixo versus a Confidencialidade,
a Integridade e a Disponibilidade das Informaes.
3. Uma Matriz que utilize nveis Alto, Mdio e Baixo versus a Confidencialidade, a
Integridade e a Probabilidade das Informaes.
4. Uma Analise Qualitativa dos nveis Alto, Mdio e Baixo das Informaes.
5. Uma Matriz que utilize nveis Alto, Mdio e Baixo versus a Confiabilidade, a Integridade
e a Disponibilidade das Informaes.
23- Em uma organizao existem diversos tipos de ativos que podem ser organizados e
classificados atravs de diversas propriedades. Qual das opes abaixo descreve o conceito
de Ativos para a Segurana da Informao:
1. Tudo aquilo que no manipula dados.
2. Tudo aquilo que tem valor para a organizao.
3. Tudo aquilo que no possui valor especfico.
4. Tudo aquilo que utilizado no Balano Patrimonial.
5. Tudo aquilo que a empresa usa como inventario contbil.
24- Um grande banco teve o saldo da conta corrente de vrios clientes alterados devido a
ocorrncia de um ataque externo. O ataque ocorreu atravs da tela de entrada do sistema
que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um
ataque de
1. Fragmentao de Pacotes IP
2. Smurf
3. SQL Injection
4. Buffer Overflow
5. Fraggle
25- Analise a afirmativa: O nvel de segurana pode ser aumentado tanto pela necessidade
de confidencialidade quanto pela de disponibilidade. Esta afirmao :
1. verdadeira desde que seja considerada que todas as informaes so publicas.
2. verdadeira se considerarmos que o nvel no deve ser mudado.
3. verdadeira, pois a classificao da informao pode ser sempre reavaliada.
4. falsa, pois a informao no deve ser avaliada pela sua disponibilidade.
5. falsa, pois no existe alterao de nvel de segurana de informao.
27- Qual das opes abaixo descreve um tipo de ataque onde possvel obter informaes
sobre um endereo especfico, sobre o sistema operacional, a arquitetura do sistema e os
servios que esto sendo executados em cada computador ?
1. Ataques de cdigos pr-fabricados
2. Ataque para Obteno de Informaes
3. Ataque de Configurao mal feita
4. Ataque Aplicao
5. Ataque aos Sistemas Operacionais
28- Qual das opes abaixo no considerada como sendo um dos fatores fundamentais e
que possam impactar no estudo e implementao de um processo de gesto de segurana
em uma organizao?
1. Vulnerabilidade.
2. Impacto .
3. insegurana /intensidade
4. Risco.
5. Ameaa.
29- O Evento que tem potencial em si prprio para comprometer os objetivos da organizao,
seja trazendo danos diretos aos ativos ou prejuzos decorrentes de situaes inesperadas est
relacionado com qual conceito?
1. Valor.
2. Risco.
3. Ameaa.
4. Impacto.
5. Vulnerabilidade.
30- Um hacker est planejando um ataque a uma importante empresa de E-commerce. Desta
forma ser necessrio levantar quais os servios de rede esto disponveis na rede da
empresa. Para alcanar o seu objetivo o invasor tentar levantar estas informaes atravs
da escuta das portas do protocolo TCP e UDP. Neste caso estamos nos referindo a um ataque
do tipo:
1. SYN Flooding
2. Fraggle
3. Fragmentao de Pacotes IP
4. Port Scanning
5. Three-way-handshake
31- Como qualquer bem ou recurso organizacional, a informao tambm possui seu conceito
de valor . Qual das opes abaixo no representa um dos possveis conceitos fundamentais
do valor atribudo s informaes para as organizaes quando tratamos de Segurana da
Informao?
1. Valor de restrio.
2. Valor de troca.
3. Valor de propriedade.
4. Valor de oramento.
5. Valor de uso.
33- Os riscos no podem ser completamente eliminados e a poro do risco existente aps
todas as medidas de tratamento terem sido tomadas, chama-se?
1) Risco de transao;
2) Risco residual
3) Risco analtico
4) Risco estrutural
34- A gesto de riscos contempla uma srie de atividades relacionadas forma como uma
organizao lida com o risco. Baseado no ciclo de vida da gesto de risco, quais so as
quatros atividades principais:
1) Avaliao do Risco, Tratamento do Risco, Aceitao do Risco, Comunicao do
Risco;
2) Avaliao do Risco, Aceitao do Risco, Tratamento do Risco, Comunicao do Risco;
3) Comunicao do Risco, Aceitao do Risco, Tratamento do Risco, Avaliao do Risco;
4)
47- Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente
ficou fora do ar, antes foi deixada uma mensagem informando : "Este ms, o governo
vivenciar o maior nmero de ataques de natureza virtual na sua histria feito pelo fail shell".
Foi um ataque orquestrado, no s para este site mas para varias instituies
governamentais, acredita-se que foram utilizados mais de 2 bilhes de acesso no caso foi
utilizado um Denial-of service.. O banco de dados IBGE no foi afetado, o portal mais
informativo, no comprometendo aos dados internos e criticos que no devem ser divulgados.
Qual voc acha que foi a vulnerabilidade para este ataque?
1. Vulnerabilidade Comunicao
2. Vulnerabilidade Mdias
3. Vulnerabilidade Fsica
4. Vulnerabilidade Natural
5. Vulnerabilidade Software
48- Analise a frase abaixo: Capacidade de uma organizao de resistir aos efeitos de um
incidente. Assinale qual das opes representa o conceito correto da frase acima:
1. Restaurao
2. Resilincia
3. Resistncia
4. Recuperao
5. Rescaldo
50- Maria trabalha como engenheira qumica de uma importante empresa do ramo
farmacetico em um projeto indito e que ir permitir a sua empresa obter um diferencial
competitivo em relao aos concorrentes. As informaes com que Maria trabalha deve ser
classificada como interna e restrita a um grupo seleto dentro da organizao, devendo a sua
integridade ser preservada a qualquer custo e o acesso bastante limitado e seguro, sendo
vital para a companhia. Em qual nvel de segurana a informao deve ser classificada?
1. Interna
2. Secreta
3. Pblica
4. Confidencial
5. Proibida
51- Segundo a RFC 2828 os ataques podem ser definidos como um ataque segurana do
sistema, derivado de uma ameaa inteligente, ou seja, um ato inteligente que uma
tentativa deliberada de burlar os servios de segurana e violar a poltica de segurana de um
sistema. Os ataques ser classificados como:
1. Passivo e Ativo
2. Secreto e Ativo
3. Passivo e Vulnervel
4. Secreto e Vulnervel
5. Forte e Fraco
52- Qual das opes abaixo descreve melhor conceito de "Ameaa" quando relacionado com a
Segurana da Informao:
1. Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos
2. Tudo aquilo que tem origem para causar algum tipo de erro nos ativos
3. Tudo aquilo que tem percepo de causar algum tipo de dano aos ativos
4. Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes.
5. Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos
53- A norma NBR ISO/IEC 27002 orienta que a organizao deve controlar o acesso
informao, aos recursos de processamento de dados e aos processos de negcios com base
nos requisitos de negcio e na segurana da informao levando em considerao as polticas
para autorizao e disseminao da informao. Neste caso a
NBR ISO/IEC 27002 est fazendo referencia a que tipo de ao de Segurana?
1. Gerenciamento das Operaes e Comunicaes
2. Desenvolvimento e Manuteno de Sistemas
3. Controle de Acesso
4. Segurana em Recursos Humanos
5. Segurana Fsica e do Ambiente
55- Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurana da informao visa proteger
os ativos de informao de diversos tipos de ameaas para garantir a continuidade dos
negcios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurana
da informao pode ser caracterizada por trs princpios bsicos:
1. Flexibilidade, agilidade e conformidade
2. Autenticidade, originalidade e abrangncia
3. Integridade, preveno e proteo
4. Preveno, proteo e reao
5. Integridade, confidencialidade e disponibilidade
56- Quando tratamos de Criptografia de Chave Assimtrica ou pblica quais das opes
abaixo est INC ORRETA :
1. A Chave Privada deve ser mantida em segredo pelo seu Dono
2. Cada pessoa ou entidade mantm duas chaves
3. A Chave Publica no pode ser divulgada livremente, somente a Chave Privada
4. Chave Publica e Privada so utilizadas por algoritmos assimtricos
5. A Chave Publica pode ser divulgada livremente
57- Maio/2011 - A Sony sofre invaso de hackers com o vazamento de informaes de mais
de 100 milhes de usurios da rede online de games PlayStation Network. O ataque base de
dados de clientes se realizou desde um servidor de aplicaes conectado com ela, e que est
depois de um servidor site e dois firewalls. Segundo a companhia, os hackers encobriram o
ataque como uma compra na plataforma online de Sony e depois de passar do servidor site, O
ataque, que foi considerado um dos maiores, no sentido do vazamento de dados
confidenciais, da histria obrigou a Sony a reconstruir grande parte da sua rede, causado um
prejuzo de 171 milhes de Dlares. A rede tambm ficou fora do ar por 28 dias, sendo que
alguns servios menos essenciais foram reestabelecidos primeiro e regionalmente antes do
reestabelecimento total de todos os servios. . Qual voc acha que foi a vulnerabilidade para
este ataque?
1. Vulnerabilidade de Comunicao
2. Vulnerabilidade de Mdias
3. Vulnerabilidade Natural
4. Vulnerabilidade de Software
5. Vulnerabilidade Fsica
59- Maria trabalha na filial de So Paulo da empresa ABC e necessita transmitir um arquivo
para Pedro que trabalha na filial de Belm. Aps receber o arquivo transmitido por Maria,
Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a
transmisso. Neste estava houve uma falha na segurana da informao relacionada :
1. No-Repdio;
2. Integridade;
3. Auditoria;
4. Autenticidade;
5. Confidencialidade;
60- Qual das opes abaixo representa o tipo de ao quando observamos que o custo de
proteo contra um determinado risco no vale a pena ser aplicado:
1. Comunicao do Risco
2. Aceitao do Risco
3. Garantia do Risco
4. Monitoramento do Risco
5. Recusar o Risco
61- Marcelo analista de suporte da empresa X e est responsvel pela instalao dos
equipamentos de rede.
Durante a instalao do novo roteador, Marcelo no percebeu que ocorreram vrios erros na
instalao do equipamento. Neste caso ocorreu um exemplo de vulnerabilidade :
1. De Mdia;
2. De comunicao;
3. De Software;
4. De hardware;
5. Natural;
62- Qual tipo de ataque envolve alguma modificao do fluxo de dados ou a criao de um
fluxo falso?
1. Passivo
2. Forte
3. Fraco
4. Secreto
5. Ativo
63- Voc trabalha na rea de segurana da sua empresa e com objetivo de reduzir os riscos
na rea de Banco de Dados, pretende implementar recursos que permitam identificar e gerir
os acessos, definindo perfis e autorizando permisses. Neste caso que tipo de barreira voc
est implementando?
1. Deter
2. Discriminar
3. Desencorajar
4. Dificultar
5. Detectar
66- Qual das opes abaixo descreve melhor conceito de Risco quando relacionado com a
Segurana da Informao:
1. Probabilidade de uma ameaa explorar um incidente.
2. Probabilidade de uma ameaa explorar uma vulnerabilidade.
3. Probabilidade de um ativo explorar uma ameaa.
4. Probabilidade de um ativo explorar uma vulnerabilidade.
5. Probabilidade de um incidente ocorrer mais vezes.
67- Qual das opes abaixo descreve um tipo de ataque que normalmente tem como objetivo
atingir mquinas servidoras da WEB de forma a tornar as pginas hospedadas nestes
servidores indisponveis pela sobrecarga ao invs da invaso?
1. DDos
2. SQL Injection
3. Shrink wrap code
4. Phishing Scan
5. Source Routing
68- A empresa Ypisilon foi invadida atravs do seu sistema de e-commerce. O ataque ocorreu
atravs do envio de informaes inconsistentes para um campo de entrada de dados da tela
principal do sistema. Neste caso, foi utilizado um ataque de:
1. Smurf
2. Fragmentao de Pacotes IP
3. Fraggle
4. Buffer Overflow
70- Qual das opes abaixo NO correta quando tratamos do conceito de Permetro de
segurana e seus componentes ?
1. Redes No Confiveis - No possuem polticas de segurana.
2. Redes Confiveis - Localizadas no permetro de segurana da rede, portanto
necessitam de proteo
3. Redes No Confiveis - No possvel informar se necessitam de proteo.
4. Redes No Confiveis - No possuem controle da administrao.
5. Redes Desconhecidas - No possvel informar, de modo explcito, se a rede
confivel ou no confivel.
71- A norma NBR ISO/IEC 27002 orienta que a organizao no deve permitir a interrupo
das atividades do negcio e deve proteger os processos crticos contra efeitos de falhas ou
desastres significativos, e assegurar a sua retomada em tempo hbil. Neste caso a NBR
ISO/IEC 27002 est fazendo referncia a que tipo de ao de Segurana?
1. Controle de Acesso
2. Segurana Fsica e do Ambiente.
3. Gesto de Incidentes de Segurana da Informao
4. Gesto da Continuidade do Negcio
5. Gerenciamento das Operaes e Comunicaes
73- Qual das opes abaixo apresenta o documento integrante da Poltica de Segurana da
Informao onde so especificados no plano ttico, as escolhas tecnolgicas e os controles
que devero ser implementados para alcanar a estratgia definida nas diretrizes?
1. Relatrio Estratgico.
2. Procedimentos.
3. Normas.
4. Manuais.
5. Diretrizes.
74- Qual das opes abaixo apresenta a Norma referente a gesto de Risco dentro da Famlia
ISO/IEC 27000 ?
1. ISO/IEC 27004
2. ISO/IEC 27005
3. ISO/IEC 27003
4. ISO/IEC 27002
5. ISO/IEC 27001
75- Nas estratgias contingncia implementadas pelas empresas, qual das opes abaixo
NO considerada uma estratgias de contingncia ?
1. Warm Site
2. Cold Site
3. Realocao de Operao
4. Hot Site
5. Small Site
77- Podemos dizer que os controles que reduzem a probabilidade de uma ameaa se
concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo
assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na
organizao so consideradas:
1. Medidas Preventivas
2. Medidas Corretivas e Reativas
3. Mtodos Quantitativos
4. Mtodos Detectivos
5. Medidas Perceptivas
78- Existem diferentes caminhos que um atacante pode seguir para obter acesso aos
sistemas. Qual das opes abaixo No representa um destes tipos de ataques?
1. Ataque Aplicao
2. Ataque para Obteno de Informaes
3. Ataques Genricos
4. Ataque de Configurao mal feita
5. Ataque aos Sistemas Operacionais
79- Qual das opes abaixo apresenta a Norma referente a gesto de Risco dentro da Famlia
ISO/IEC 27000 ?
1. ISO/IEC 27003
2. ISO/IEC 27002
3. ISO/IEC 27004
4. ISO/IEC 27001
5. ISO/IEC 27005
81-O Exploit um termo muito utilizado em segurana da informao. Qual das opes
abaixo descreve o que conceito de um Exploit ?
1. Um programa de computador, uma poro de dados ou uma sequncia de comandos
que se aproveita das ameaas de um sistema computacional.
2. Um programa de computador, uma poro de dados ou uma sequncia de comandos
para reduzir as ameaas de um sistema computacional.
3. Um programa de computador, uma poro de dados ou uma sequncia de
comandos que se aproveita das vulnerabilidades de um sistema
computacional.
4. Um programa de computador, uma poro de dados ou uma sequncia de comandos
que implementa vulnerabilidades em um sistema computacional.
5. Um programa de computador, uma poro de dados ou uma sequncia de comandos
que deve ser amplamente utilizado em um sistema computacional.
84- Qual das Opes abaixo representa a ordem correta dos passos que um Atacante
normalmente segue para realizar um Ataque de Segurana :
1. Obteno, Levantamento, Explorao, Manuteno e Camuflagem
2. Obteno, Explorao, Levantamento, Manuteno e Camuflagem
3. Explorao, Levantamento, Obteno, Manuteno e Camuflagem
4. Levantamento, Explorao, Obteno, Manuteno e Camuflagem
5. Levantamento, Obteno, Explorao, Manuteno e Camuflagem
86- De acordo com a afirmao O nvel de segurana requerido para obter cada um dos trs
princpios da CID difere de empresa para empresa, pois cada empresa possui uma
combinao nica de requisitos de negcio e de segurana, podemos dizer que:
1. A afirmao ser somente verdadeira se as empresas forem de um mesmo mercado.
2. A afirmao somente falsa para as empresas privadas.
3. A afirmao falsa.
4. A afirmao somente verdadeira para as empresas privadas.
5. A afirmao verdadeira.
87- O papel estratgico dos sistemas de informao nas empresas cresce a cada dia. Qual das
opes abaixo no pode ser considerada como sendo um dos "Propsitos da Informao"
dentro das empresas e organizaes?
1. Habilitar a empresa a alcanar seus objetivos pelo uso eficiente dos equipamentos;
2. Habilitar a empresa a alcanar seus objetivos pelo uso eficiente da sua tecnologia;
3. Habilitar a empresa a alcanar seus objetivos de ineficcia nos processos;
4. Habilitar a empresa a alcanar seus objetivos pelo uso eficiente dos recursos
financeiros;
5. Habilitar a empresa a alcanar seus objetivos pelo uso eficiente dos recursos materiais;
88- Joo analista de segurana da empresa Ypisol e percebeu que algum est tentando
obter acesso rede atravs do envio de um grande nmero de requisies de conexo
(pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor est
tentando utilizar?
1. Fragmentao de pacotes IP
2. Port Scanning
3. SYN Flooding
4. Fraggle
5. Ip Spoofing
89- Como qualquer bem ou recurso organizacional, a informao tambm possui seu conceito
de valor est associado a um contexto. A informao ter valor econmico para uma
organizao se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso
contrrio poder ter pouco ou nenhum valor. Segundo os conceitos da Segurana da
Informao, onde devemos proteger as informaes?
1. Nos Riscos.
2. Nas Vulnerabilidades e Ameaas.
3. Nas Ameaas.
4. Nas Vulnerabilidades.
5. Nos Ativos .
90- Qual das opes abaixo completa a sentena: Quanto maior a probabilidade de uma
determinada ameaa ocorrer e o impacto que ela trar, maior ser _________.
1. A Vulnerabilidade do Ativo.
2. A Vulnerabilidade do Risco.
3. O risco associado a este incidente.
4. O valor do Impacto.
5. O risco associado a ameaa.
91- Antnio deseja obter informaes sigilosas de uma importante empresa da rea
financeira. Para isso implementou um programa que que ir coletar informaes pessoais e
financeiros da vtima. Para obter sucesso no ataque, Antnio ir induzir o acesso a pgina
fraudulenta atravs do envio de uma mensagem no solicitada. Neste caso estavamos nos
referindo ao ataque do tipo
1. SQL Injection
2. Phishing Scan
3. Source Routing
4. DDos
5. Shrink wrap code
92- Joo configurou nas mquinas servidoras da empresa que trabalha o servio de Log de
forma a registrar as operaes realizadas pelos usurios e servios do sistema. Neste caso,
Joo est implementando uma propriedade de segurana relacionada (o):
1. Integridade;
2. Confidencialidade;
3. Disponibilidade;
4. Auditoria;
5. No-Repdio;
93- assimtricas, sendo uma delas pblica e a outra, privada, emitidas por autoridade
certificadora confivel. Uma mensagem ser enviada de Ana para Bernardo, satisfazendo s
seguintes condies:
1 - a mensagem deve ser criptografada de modo que no seja interceptvel no caminho;
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana;
3 - deve ser possvel continuar enviando mensagens, entre as 3 pessoas, que atendam s
condies anteriores.
A mensagem de Ana para Bernardo deve ser assinada
1. com a chave privada de Bernardo e criptografada com a chave pblica de Ana.
2. e criptografada com a chave pblica de Ana.
3. com a chave pblica de Ana e criptografada com a chave privada de Bernardo.
4. e criptografada com a chave privada de Bernardo.
5. com a chave privada de Ana e criptografada com a chave pblica de
Bernardo.
96- As ameaas propositais causadas por agentes humanos como hackers, invasores, espies,
ladres e etc. podero ser classificadas como:
1. Voluntrias
2. Tecnolgicas.
3. Globalizadas
4. Destrutivas
5. Insconsequentes
97- Quando um atacante deseja realizar uma invaso, a utilizao de rootkits, backdoors ou
trojans pode estar associada a qual dos passos realizados pelo Atacante?
1. Manuteno do Acesso.
2. Levantamento das Informaes.
3. Explorao das Informaes.
4. Obteno de Acesso
5. Camuflagem das Evidncias
101- Qual das opes abaixo apresenta o documento integrante da Poltica de Segurana da
Informao onde so detalhadas no plano operacional, as configuraes de um determinado
produto ou funcionalidade que devem ser feitas para implementar os controles e tecnologias
estabelecidas pela norma.
1. Diretrizes.
2. Normas.
3. Manuais.
4. Procedimentos.
5. Relatrio Estratgico.
102- A organizao deve analisar criticamente seu SGSI em intervalos planejados para
assegurar a sua contnua pertinncia, adequao, eficcia, oportunidade de melhoria ou
necessidade de mudanas. Qual das opes abaixo No poder ser considerada como um
elemento para a realizao desta anlise:
1. Os resultados das auditorias anteriores e anlises crticas;
2. A avaliao das aes preventivas e corretivas;
3. A avaliao dos riscos e incidentes desejados;
4. Vulnerabilidades ou ameaas no contempladas adequadamente nas
anlise/avaliaes de risco anteriores;
5. A realimentao por parte dos envolvidos no SGSI.
104- Como qualquer bem ou recurso organizacional, a informao tambm possui seu
conceito de valor . Neste contexto qual das opes abaixo indica o tipo de valor da
informao que pode ser atribudo ao seguinte conceito: o quanto o usurio est disposto
a pagar, conforme as leis de mercado (oferta e demanda).
1. Valor de restrio.
2. Valor de troca .
3. Valor de utilidade.
4. Valor de propriedade.
5. Valor de uso.
105-O que ocorre quando uma ameaa explora uma ou mais vulnerabilidades de um ativo
segundo os conceitos da Segurana da Informao?
1. Uma falha na ameaa do ativo.
2. Um acidente de Segurana da Informao.
3. Uma tentativa de Segurana.
4. Um Incidente de Segurana.
5. Um tratamento de vulnerabilidades
106- Qual das ameaas abaixo no uma funo diretiva primria realizada por um Spyware?
1. Monitoramento de URLs acessadas enquanto o usurio navega na Internet
2. Alterao da pgina inicial apresentada no browser do usurio;
3. Captura de outras senhas usadas em sites de comrcio eletrnico;
4. Alterao ou destruio de arquivos;
5. Captura de senhas bancrias e nmeros de cartes de crdito
107- Se um invasor mal intencionado desejasse utilizar de uma ferramenta para mapear
potenciais vulnerabilidades em computadores, assegurar o acesso futuro a estes
computadores e remover as evidncias de suas aes, qual ferramenta (malware) ele
utilizaria como sendo a mais eficaz dentre as apresentadas na opes abaixo ?
1. Bot
2. Rootkit
3. Spyware
4. Worm
5. Adware
109- O programa que capaz de capturar e armazenar as teclas digitadas pelo usurio no
teclado de um computador que podem ser desde o texto de um e-mail, at informaes mais
sensveis, como senhas bancrias e nmeros de cartes de crdito conhecido como:
1. backdoor
2. Virus
3. Spyware
4. Keylogger
5. Exploit
110- Joo coordena a rea de segurana na empresa XPTO e tem conhecimento de que a
negligncia por parte dos administradores de rede e a falta de conhecimento tcnico de
alguns usurios so exemplos tpicos de vulnerabilidade. Por conta disso implementou
medidas que impedem a configurao e a instalao indevidas de programas de
computador/sistemas operacionais que poderiam levar ao uso abusivo dos recursos por parte
de usurios mal-intencionados e que neste caso representam exemplos de vulnerabilidade :
1. De hardware;
2. Natural;
3. Humana;
4. De Software;
5. De Mdia;
111-Qual das opes abaixo descreve um tipo de ataque que consiste em enviar um
excessivo nmero de pacotes PING para o domnio de broadcast da rede? Neste tipo de
ataque o endereo de origem utilizado o endereo IP da vtima desejada, de forma que
todos os hosts do domnio de broadcast iro responder para este endereo IP , que foi
mascarado pelo atacante.
1. Phishing Scan
2. Shrink Wrap Code
3. Dumpster Diving ou Trashing
4. Smurf
5. Fraggle
114- Qual opo abaixo representa a descrio do Passo Manuteno do Acesso dentre
aqueles que so realizados para um ataque de segurana ?
1. O atacante procura coletar o maior nmero possvel de informaes sobre o alvo em
avaliao.
2. O atacante de tentar camuflar seus atos no autorizados com o objetivo de prolongar
sua permanncia.
3. O atacante penetra do sistema para explorar vulnerabilidades encontradas. sistema.
4. O atacante tenta manter seu prprio domnio sobre o sistema.
5. O atacante explora a rede baseado nas informaes obtidas na fase de reconhecimento
117- Qual das opes abaixo representa o tipo de Mtodo utilizado para a anlise e avaliao
dos riscos onde so utilizados termos numricos para os componentes associados ao risco.
1. Mtodo Numrico.
2. Mtodo Classificatrio.
3. Mtodo Exploratrio.
4. Mtodo Qualitativo.
5. Mtodo Quantitativo.
118- A organizao deve executar aes para melhorar continuamente a eficcia do SGSI.
Estas aes ocorrem atravs: do uso da poltica de segurana, dos objetivos de segurana,
resultados de auditorias, da anlise dos eventos monitorados e atravs de aes:
1. Corretivas e Preventivas.
2. Corretivas e Corrigidas.
3. Preveno e Preventivas.
4. Corrigidas e Preventivas.
5. Corretivas e Correo.
119- Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo
de de um ataque DDoS e foi descrito como o maior j sofrido pela empresa. C omo resultado
desse ataque, quase 18 MILHES de blogs, incluindo os que fazem parte do servio VIP da
empresa sofreram com problemas nos acessos. Entre eles, esto inclusos o Financial Post, o
Nacional Post e o TechC runch. O tamanho ataque alcanou vrios Gigabits por segundo e
alguns milhes de pacotes por segundo. Apesar do ataque ter atingido trs data centers do
Wordpress, a investigao suspeita que o ataque tenha tido motivaes polticas e o alvo
tenha sido um blog.
Qual voc acha que foi a vulnerabilidade para este ataque?
1. Vulnerabilidade Fsica
2. Vulnerabilidade Mdias
3. Vulnerabilidade C omunicao
4. Vulnerabilidade Natural
5. Vulnerabilidade Software
120- instalaes fsicas a rea de desenvolvimento de sistemas. O prazo de retorno para as
atividades neste local fsico ser de pelo menos 15 dias, o que acarretar no estouro do prazo
dos projetos j em andamento. A empresa Y foi contratada para realizar o servio de
desenvolvimento enquanto as instalaes fsicas da re de desenvolvimento no fica
operacional. Neste caso qual a estratgia de contingenciamento que est sendo aplicada?
1. Hot-site
2. Realocao de operao
3. C old-site
4. Bureau de service
5. Acordo de reciprocidade
121- Segundo a NBR ISO/IEC 27002 a poltica de segurana pode ser parte de um documento
da poltica geral.
Normalmente o documento de poltica geral dividido em vrios documentos. Qual das
opes abaixo apresenta um conjunto tpico destes documentos?
1. Diretrizes; Manuais e Procedimentos
2. Diretrizes; Normas e Procedimentos
3. Manuais; Normas e Procedimentos
4. Manuais; Normas e Relatrios
5. Diretrizes; Normas e Relatrios
122- Como qualquer bem ou recurso organizacional, a informao tambm possui seu
conceito de valor . Qual das opes abaixo indica o tipo de valor da informao que pode
ser atribudo ao seguinte conceito: Surge no caso de informao secreta ou de interesse
comercial, quando o uso fica restrito a apenas
algumas pessoas.
1. Valor de uso.
2. Valor de troca.
3. Valor de negcio.
4. Valor de restrio.
5. Valor de propriedade.
123- Voc precisa elaborar um relatrio com o resultado da anlise de vulnerabilidades que
foi realizada na sua empresa. Voc percebeu que no levantamento das vulnerabilidades do
ambiente de TI foram encontradas inconsistncias. Qual das opes abaixo no pode ser
considerada como um exemplo de um tipo de vulnerabilidade que pode ser encontrada num
ambiente de TI?
1. Fraqueza de segurana/falhas nos scripts que executam nos servidores web.
2. Falhas nas implementaes de segurana nos compartilhamentos de rede e arquivos.
3. Falha na transmisso de um arquivo por uma eventual queda de energia.
4. Falhas nos softwares dos equipamentos de comunicaes.
5. Fraqueza nas implementaes de segurana dos sistemas operacionais/aplicativos.
125- Como no existe uma nica causa para o surgimento das vulnerabilidades, diferentes
tipos de vulnerabilidade podem estar presente em diversos ambientes computacionais. Neste
sentido qual das opes abaixo no representa um exemplo de tipo de vulnerabilidade?
1. Hardware.
2. Vrus.
3. Humana.
4. Mdia.
5. Natural.
129- Qual opo abaixo representa a descrio do Passo Levantamento das Informaes
dentre aqueles que so realizados para um ataque de segurana ?
1. A atacante tenta manter seu prprio domnio sobre o sistema
2. O atacante de tentar camuflar seus atos no autorizados com o objetivo de prolongar
sua permanncia.
3. O atacante procura coletar o maior nmero possvel de informaes sobre o
"alvo em avaliao".
4. O atacante explora a rede baseado nas informaes obtidas na fase de reconhecimento
5. O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema.
130- Como no existe uma nica causa para o surgimento das vulnerabilidades, diferentes
tipos de vulnerabilidade podem estar presente em diversos ambientes computacionais. Qual
das opes abaixo"NO" representa um exemplo de tipo de vulnerabilidade?
1. Fsica
2. Comunicao
3. Humana
4. Natural
5. Administrativa
131-Suponha que um invasor mal intencionado desejasse observar o padro das mensagens
enviadas, de forma a poder determinar o local e a identidade dos envolvidos na comunicao
e ainda observar a frequncia e o tamanho das mensagens trocadas. Qual o tipo de ataque
ele utilizaria dentre as opes apresentadas abaixo ?
1. Ativo - anlise de trfego
2. Passivo - interceptao do contedo da mensagem (liberao)
3. Ativo - interceptao do contedo da mensagem (liberao)
4. Passivo - anlise de trfego
5. Ativo - Repetio da mensagem
134- Qual das opes abaixo no representa uma das etapas da Gesto de Risco:
1. Manter e melhorar os riscos identificados nos ativos
2. Identificar e avaliar os riscos.
3. Verificar e analisar criticamente os riscos.
4. Selecionar, implementar e operar controles para tratar os riscos.
5. Manter e melhorar os controles
137- Aps conseguir realizar o levantamento das informaes da empresa XPTO e acessar o
servidor de banco de dados com as informaes dos clientes da organizao. Pedro, o invasor,
tenta esconder seus atos no autorizados com o objetivo de prolongar sua permanncia de
acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste caso, Pedro est em que
passo da metodologia de um ataque?
1. Explorao das Informaes
2. Obteno de Acesso
3. Camuflagem das Evidncias
4. Divulgao do Ataque
5. Levantamento das Informaes
138- Qual dos exemplos abaixo no pode ser considerado como sendo claramente um cdigo
malicioso ou Malware?
1. worm
2. trojan horse
3. active-x
4. keyloggers
5. rootkit
139- Qual das opes abaixo refere-se ao conceito definido pela RFC 2828 do Internet
Security Glossary : Potencial para violao da segurana quando h uma circunstncia,
capacidade, ao ou evento que pode quebrar a segurana e causar danos .
1. Ameaa.
2. Confidencialidade.
3. Incidente.
4. Vulnerabilidade.
5. Impacto.
140- A norma NBR ISO/IEC 27002 orienta que a organizao deve prevenir o acesso fsico no
autorizado, danos e interferncias com as instalaes e informaes da organizao. Neste
caso a NBR ISO/IEC 27002 est fazendo referencia a que tipo de ao de Segurana:
1. Controle de Acesso.
2. Gerenciamento das Operaes e Comunicaes.
3. Segurana dos Ativos.
4. Segurana Fsica e do Ambiente.
5. Segurana em Recursos Humanos.
141- Qual das opes abaixo demonstra a seqncia correta de elementos e eventos que
fazem parte de um processo de anlise da Segurana da Informao?
1. As Ameaas exploram as Vulnerabilidades ocorrendo em Incidentes de
Segurana que afetam os processos de negcio resultando em Impactos para
as organizaes.
2. As Ameaas exploram os Incidentes ocorrendo em Ativos de Segurana que afetam os
processos de negcio resultando em Vulnerabilidades para as organizaes.
3. Os Ativos exploram as Vulnerabilidades ocorrendo em Incidentes de Segurana que
afetam os processos de negcio resultando em Controles para as organizaes.
4. Os Ativos exploram as Vulnerabilidades ocorrendo em Controles de Segurana que
afetam os processos de negcio resultando em Impactos para as organizaes.
5. As Ameaas exploram os Incidentes ocorrendo em Vulnerabilidades de Segurana que
afetam os processos de negcio resultando em Impactos para as organizaes.
142- Voc trabalha na rea de segurana da sua empresa e com objetivo de reduzir os riscos
na rea de Banco de Dados, pretende instalar dispositivos de autenticao de acesso fsico,
que ser implementado atravs de dispositivo biomtrico. Neste caso que tipo de barreira
voc est implementando?
1. Desencorajar
2. Discriminar
3. Deter
4. Dificultar
145- Voc trabalha na rea de administrao de rede est percebendo que a rede tem
apresentado um comportamento diferente do normal. Voc desconfia que possam estar
ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o
levantamento peridico do que est ocorrendo no trfego da rede. Neste caso voc ir
utilizar:
1. Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede;
2. Um detector de intruso para realizar a anlise do trfego da rede;
3. Um sniffer de rede, para analisar o trfego da rede;
4. Um analisador de protocolo para auxiliar na anlise do trfego da rede;
5. Um filtro de pacotes, para verificar quais pacotes esto sendo verificados pelos firewall;
146- Podemos afirmar que um Ataque pode ser derivado de uma ameaa inteligente, ou seja,
a tentativa deliberada de burlar os servios de segurana e violar a poltica de segurana de
um sistema?
1. No, a afirmao falsa, esta a afirmao de uma vulnerabilidade.
2. No, a afirmao falsa, pois um ataque no derivado de uma ameaa
3. A afirmao verdadeira, pois um ataque derivado de uma ameaa
inteligente
4. A afirmao falsa pois este tipo de ataque no existe.
5. A afirmao s seria verdadeira se a ameaa no fosse inteligente
147- Paulo consultor de uma empresa de segurana e foi contratado para desenvolver a
poltica de segurana da empresa Blue. Nesta fase do projeto Paulo necessita elaborar
documento, integrante da Poltica de Segurana da Informao, onde dever detalhar as
configuraes operacionais da rotina de Backup da empresa. Neste caso Paulo estar
elaborando:
1. Manuais.
2. Normas.
3. Diretrizes.
4. Relatrio Estratgico.
5. Procedimentos.
152- Segundo os princpios da Segurana da Informao, qual das opes abaixo representa
melhor o conceito de Ativos de Informao?
1. So aqueles que produzem, processam, renem ou expem informaes.
2. So aqueles tratam, administram, isolam ou armazenam informaes.
3. So aqueles que produzem, processam, transmitem ou armazenam
informaes.
4. So aqueles que organizam, processam, publicam ou destroem informaes.
5. So aqueles que constroem, do acesso, transmitem ou armazenam informaes.
153- A informao tambm possui seu conceito de valor e que est associado a um contexto,
podendo gerar lucros ou ser alavancadora de vantagem competitiva e at mesmo possuir
pouco ou nenhum valor. No contexto da segurana da informao o que consiste o processo
de classificao da informao ?
1. Identificar quais so os nveis de proteo que as informaes demandam e
estabelecer classes e formas de identific-las, e determinar os controles de
proteo para cada uma delas.
2. Identificar quais so os nveis de vulnerabilidades que as informaes demandam e
estabelecer classes e formas de identific-las, e determinar os riscos de proteo para
cada uma delas.
3. Identificar quais so os nveis de ameaas que as informaes demandam e
estabelecer classes e formas de identific-las, e determinar os controles de proteo
para cada uma delas.
4. Identificar quais so os nveis de proteo que as informaes demandam e
estabelecer classes e formas de identific-las, e determinar as ameaas de proteo
para cada uma delas.
5. Identificar quais so os nveis de vulnerabilidades que as informaes demandam e
estabelecer classes e formas de identific-las, e determinar os controles de proteo
para cada uma delas.
154- O que ocorre quando uma ameaa explora uma ou mais vulnerabilidades de um ativo
segundo osvconceitos da Segurana da Informao?
1. Um Incidente de Segurana.
2. Uma tentativa de Segurana.
3. Um tratamento de vulnerabilidades.
4. Uma falha na ameaa do ativo.
5. Um acidente de Segurana da Informao.
155- Marcelo analista de suporte da empresa X e est responsvel pela instalao dos
equipamentos de rede. Durante a instalao do novo roteador, Marcelo saiu para tomar um
caf e no percebeu que ocorreram vrios erros na instalao do equipamento. Neste caso
ocorreu um exemplo de vulnerabilidade :
1. Humana;
2. Natural;
3. De hardware;
4. De Mdia;
5. De Software;
6.
156- Voc est alocado a um projeto de segurana da informao, que tem em uma das suas
etapas a atividade de classificao dos ativos da organizao. Qual das opes abaixo no
representa um exemplo de Ativo Tangvel:
1. Sistemas.
2. Marca de um Produto.
3. Mveis.
4. Documentos .
5. Pessoas.
157- Voc trabalha em uma empresa de comrcio eletrnico e descobriu que seu concorrente
est tentando prejudicar os negcios de sua empresa atravs de um ataque DDoS. Como
voc classificaria este ataque:
1. Forte
2. Fraco
3. Secreto
4. Ativo
5. Passivo
6.
158- As ameaas so agentes ou condies que causam incidentes que comprometem as
informaes e seus ativos por meio da explorao de vulnerabilidades. Qual das opes
abaixo apresenta as possveis classificaes das ameaas quanto a sua intencionalidade?
1. Ocasionais, Involuntrias e Obrigatrias.
2. Naturais, Voluntarias e Obrigatrias.
3.
159- O ciclo de vida de uma informao composto e identificado pelos momentos vividos
pela informao que a colocam em risco. Qual das opes abaixo apresenta os momentos
vividos pela informao dentro do conceito do Ciclo da Informao ?
1. Manuseio, Armazenamento, Transporte e Guarda.
2. Manuseio, Armazenamento, Transporte e Descarte.
3. Manuseio, Armazenamento, Utilizao e Descarte.
4. Troca, Armazenamento, Transporte e Descarte.
5. Manuseio, Leitura, Transporte e Descarte.
161- Quando devem ser executadas as aes preventivas, no contexto de um SGSI (Sistema
de Gesto de Segurana da Informao)?
1. Devem ser executadas para determinar as causas de conformidades potenciais com os
requisitos do SGSI, de forma a garantir a sua ocorrncia.
2. Devem ser executadas para eliminar as causas de no-conformidades
potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrncia.
3. Devem ser executadas para garantir as causas de no-conformidades potenciais com
os requisitos do SGSI, de forma a evitar a sua ocorrncia.
4. Devem ser executadas para determinar as causas de no-conformidades potenciais
com os requisitos do SGSI, de forma a evitar a sua ocorrncia.
5. Devem ser executadas para eliminar as causas de conformidades potenciais com os
requisitos do SGSI, de forma a garantir a sua ocorrncia.
162- Para que um ataque ocorra normalmente o atacante dever seguir alguns passos at o
seu objetivo, qual das opes abaixo No representa um destes passos?
1. Obteno de Acesso
2. Camuflagem das Evidencias
3. Divulgao do Ataque
4. Levantamento das Informaes
5. Explorao das Informaes
163- Existe uma srie de fatores que impactam na segurana de uma organizao. A ausncia
de um mecanismo de
proteo ou falhas em um mecanismo de proteo existente est relacionada com o conceito
de?
1. Vulnerabilidade.
2. Risco.
3. Valor.
4. Impacto.
5. Ameaa.
164- A NBR ISO/IEC 27002 orienta que a organizao assegurar que funcionrios,
fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus
papis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. Neste
caso a NBR ISO/IEC 27002 est fazendo referencia a que tipo de ao de Segurana:
1. Segurana dos Ativos.
2. Gerenciamento das Operaes e Comunicaes.
3. Controle de Acesso.
4. Segurana Fsica e do Ambiente.
5. Segurana em Recursos Humanos.
Abertas
No contexto da segurana da informao , defina os conceitos de Ativo, Vulnerabilidade e
Ameaa.
RESPOSTA:
Ativo: qualquer coisa que tenha valor para a organizao. Vulnerabilidade: A
ausncia de um mecanismo de proteo ou falhas em um mecanismo de proteo
existente. Ameaa: Evento que tem potencial em si prprio para comprometer os
objetivos da organizao, seja trazendo danos diretos aos ativos ou prejuzos
decorrentes de situaes inesperadas.
Entre os tipos de ataques existentes, descreva as diferenas entre um ataque do tipo Fraggle
e do tipo Smurf.
Gabarito: Um ataque do tipo Fraggle consitem no envio de um excessivo nmero de
pacotes PING para o domnio de broadcast da rede, tendo como endereo IP de
origem, a vtima desejada. Dessa forma todos os hosts do domnio de broadcast
iro responder para o endereo IP da vtima, que foi mascarado pelo atacante,
ficando desabilitada de suas funes normais. J um ataque do tipo smurf
idntico ao atque Fraggle, alterando apenas o fato que utiliza-se de pacotes do
protocolo UDP.
Entre os tipos de ataques existentes, descreva as diferenas entre um ataque do tipo SQL
Injection e um ataque
de Buffer Overflow?
Gabarito: Ataque do tipo SQL Injection um tipo de ataque que se aproveita de
falhas em sistemas que interagem com bases de dados atravs da utilizao de
SQL. A injeo de SQL ocorre quando o atacante consegue inserir uma srie de
instrues SQL dentro de uma consulta (query) atravs da manipulao das
entrada de dados de uma aplicao. J o ataque de Buffer overflow consiste em
enviar para um programa que espera por uma entrada de dados qualquer,
informaes inconsistentes ou que no esto de acordo com o padro de entrada
de dados.
Dado o carter abstrato e intangvel da informao, seu valor est associado a um contexto. A
informao ter valor econmico para uma organizao se ela gerar lucros ou se for
alavancadora de vantagem competitiva, caso contrrio poder ter pouco ou nenhum valor.
Neste sentido descreva o ciclo de vida da informao, identificando os momentos vividos pela
informao.
Gabarito: Manuseio: Momento em que a informao criada e manipulada.
Armazenamento: Momento em que a informao armazenada. Transporte:
Momento em que a informao transportada. Descarte: Momento em que a
informao descartada.