Você está na página 1de 10
SIMULADO 1 MCSO 1. Quais os princípios básicos da segurança da informação segundo a ISO/IEC 17799:2005

SIMULADO 1

MCSO

  • 1. Quais os princípios básicos da segurança da informação segundo a ISO/IEC 17799:2005 (ISO 27002)?

    • a) Confidencialidade, Integridade, Rastreabilidade.

    • b) Confidencialidade, Autenticidade, Integridade.

    • c) Legalidade, Integridade, Disponibilidade.

    • d) Confidencialidade, Integridade e Disponibilidade.

  • 2. Atribua categorias às vulnerabilidades e marque a alternativa correta.

  • Físicas

    • 1 ) Falta de atualização de firmware

    (

    • 2 ) Falta de aplicação de patches conforme recomendação dos fabricantes

    Naturais

    (

    • 3 ) Terremotos e inundações

    Hardware

    (

    Software

    • 4 ) Usuários desrespeitando normas de segurança

    (

    • 5 ) Extintor de incêndio com prazo de validade vencido

    Humana

    (

    • a) 3, 1, 2, 4, 5

    • b) 3, 4, 2, 5, 1

    • c) 4, 3, 2, 1, 5

    • d) 3, 5, 2, 1, 4

    • 3. Há diferentes abordagens de categorização para a tarefa de definição de escopo de um projeto de análise de riscos. A respeito destas podemos afirmar que:

      • a) A categorização por processos de negócio garante que o levantamento de ativos seja realizado de forma bastante rápida.

      • b) A categorização por localidade física garante grande aproximação com a área de negócio pelo fato de ser realizada localmente.

      • c) A categorização mista normalmente envolve fortes aspectos culturais.

      • d) Nenhuma das alternativas anteriores.

  • 4. Quando a aceitação de riscos deve ser realizada?

    • a) Não deve ser realizada.

    • b) Quando não conseguimos encontrar uma boa relação custo/benefício

    • c) Quando os riscos envolverem itens muito complexos.

    • d) Quando houver a possibilidade de ser realizado um auto-seguro.

  • SIMULADO 1 MCSO 5. Após decidir que os papéis confidenciais de sua empresa seriam descartados em

    SIMULADO 1

    MCSO

    • 5. Após decidir que os papéis confidenciais de sua empresa seriam descartados em uma lixeira especial para coleta seletiva e fragmentação antes da venda para uma empresa de reciclagem, a área de segurança física adquiriu containers plásticos que não empenam e por isso não permitem acesso fácil aos documentos. Contudo os containers são facilmente desmontáveis com uma chave de fenda e não deixam rastros de violação. Como a compra dos containers ocorreu de maneira desestruturada e, por isso, sem sua participação, o ideal seria trocá-los por containers que oferecessem mais segurança, mas essa possibilidade já foi descartada por motivos políticos e financeiros. Qual seria a sua melhor opção para o tratamento dos riscos residuais dessa situação?

      • a) A implementação de lacres contra a violação seria uma solução extremamente barata que apesar de não impedir o acesso aos documentos, pois os containers continuam sendo desmontáveis, deixam rastro de que o container foi desmontado. Com isso você passa a ter casos reais de incidentes que reforçarão a necessidade de trocar os containers ou chega à conclusão que os lacres já estão adequados à realidade da empresa.

      • b) Como a sua análise de riscos já demonstrou que as fragmentadoras não fragmentam os papéis em um nível considerado adequado, suas informações já estão expostas quando são vendidas. Já que a informação está exposta fora da empresa não há justificativa para investimos internamente.

      • c) Apesar dos custos de implementação de CFTV para monitorar os containers serem extremamente elevados a área de segurança da informação possui orçamento para cobrir as despesas e deve implementar câmeras para registrar incidentes.

      • d) Nenhuma das alternativas anteriores, pois o assunto deve esperar mais um ano para ser resolvido.

  • 6. Marque a alternativa correta para a definição de “medidas de segurança”.

    • a) São ações voltadas à eliminação de vulnerabilidades com vistas a evitar a concretização de uma ameaça.

    • b) São ações voltadas à eliminação de ameaças com vistas a evitar a concretização de uma vulnerabilidade.

    • c) São ações voltadas à eliminação de riscos com vistas a evitar a concretização de uma vulnerabilidade.

    • d) São ações voltadas à eliminação de impactos com vistas a evitar a concretização de um risco.

  • 7. Relacione a primeira coluna com a segunda:

    • A. Área de armazenamento sem proteção

    • B. Estações de trabalho

    • C. Falha de segurança em um software

  • 1. ativo 2. vulnerabilidade 3. ameaça

    • D. Perda de vantagem competitiva 4. impacto

    • E. Roubo de informações

    • F. Perda de negócios

    5. medida de segurança

    • G. Não é executado o “logout” ao término do uso dos sistemas

    • H. Perda de mercado

    • I. Implementar travamento automático da estação após período de tempo sem uso

    • J. Servidores

    • K. Vazamento de informação

    • a) A2, B1, C2, D4, E4, F4, G2, H4, I5, J1, K3.

    • b) A2, B1, C2, D3, E3, F4, G2, H4, I5, J1, K4.

    • c) A2, B1, C3, D3, E4, F4, G2, H4, I5, J1, K3.

    • d) A2, B1, C2, D4, E3, F4, G2, H4, I5, J1, K3.

    SIMULADO 1 MCSO 8. Qual a principal diferença entre a análise de risco e a gestão

    SIMULADO 1

    MCSO

    • 8. Qual a principal diferença entre a análise de risco e a gestão de riscos?

      • a) Na análise é estabelecida uma política de riscos e na gestão são estabelecidos critérios de aceitação do risco.

      • b) Ambos os termos têm o mesmo significado.

      • c) A gestão inclui, além da análise, atividades de tratamento e comunicação dos riscos.

      • d) A análise de riscos é mais abrangente que a gestão de riscos.

  • 9. Qual das seguintes abordagens de tratamento de risco envolve obrigatoriamente a participação de terceiros?

    • a) Aceitar o risco.

    • b) Eliminar o risco.

    • c) Reduzir o risco.

    • d) Transferir o risco.

    • 10. A política de segurança da informação deve ser elaborada de que maneira?

      • a) Depois de copiado um modelo da Internet devem ser negociadas as possibilidades de implementação sob o ponto de vista tecnológico. Os itens que não forem factíveis devem ser excluídos do documento.

      • b) Deve ser realizada uma análise e avaliação de riscos e um plano de ação para estabelecer o nível de segurança adequado ao ambiente. Concluída a implementação e estabelecido o padrão deve ser realizado a documentação do padrão que será conhecida como política para aquele objeto específico.

      • c) Utilizando melhores práticas que devem ser implementadas por serem consideradas soluções apropriadas de segurança da infomação.

      • d) Utilizando exclusivamente a ISO27005 como padrão pois a documentação trata justamente da divisão da política em níveis estratégico, tático e operacional como sendo diretrizes, normas, procedimentos e instruções.

  • 11. Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação?

    • a) Auditoria.

    • b) Segregação de funções.

    • c) Suporte técnico.

    • d) Conscientização dos usuários.

  • 12. O ideal para garantir a conformidade de aplicação da política de segurança sob o ponto cultural é:

    • a) Punir os desvios exemplarmente sempre que ocorrerem.

    • b) Premiar as áreas que estiverem com maior conformidade.

    • c) Possui normatização que defina as punições em caso de falta de conformidade.

    • d) Nenhuma das alternativas anteriores.

  • SIMULADO 1 MCSO 13. A respeito do processo de gestão de ativos previsto na ISO27002 é

    SIMULADO 1

    MCSO

    • 13. A respeito do processo de gestão de ativos previsto na ISO27002 é correto afirmar que todos os ativos devem ser:

      • a) Identificados, inventariados e ter um responsável.

      • b) Analisados, avaliados e protegidos.

      • c) Analisados, padronizados e documentados.

      • d) Analisados, priorizados e documentados.

  • 14. Em um servidor compartilhado há informações consideradas confidenciais e públicas. Esse servidor desse ser considerado:

    • a) De uso interno. A média aritmética dos índices indica que esse servidor tem importância média e por isso não pode ter a mesma classificação de um servidor que possui exclusivamente informações confidenciais.

    • b) Confidencial. A existência da informação confidencial justifica essa decisão.

    • c) De uso interno-especial apesar de não haver esse critério previsto na norma de classificação da informação a área de segurança deve ter um método de tratar exceções à regra.

    • d) Nenhuma das anteriores.

  • 15. A liberação para acesso a informações classificadas deve ser feita baseada em que princípio básico de segurança?

    • a) Confiança.

    • b) Segregação de funções.

    • c) Privilégio mínimo.

    • d) Rotação de tarefas.

  • 16. Quem costuma desempenhar o papel de proprietário de informações (information owner) dentro de uma organização?

    • a) Os técnicos do departamento de informática.

    • b) O Security Officer.

    • c) Os gerentes de departamento.

    • d) O presidente da empresa.

  • 17. Em planos de continuidade de negócios todos os itens abaixo devem fazer parte da cobertura do plano, exceto:

    • a) Garantir a integridade física dos funcionários.

    • b) Garantir o estabelecimento de procedimentos de emergência.

    • c) Garantir a continuidade dos processos críticos.

    • d) Garantir que o plano contenha, no mínimo, um hotsite.

  • 18. Quais áreas de uma organização devem ser atendidas por planos de continuidade de negócios?

    • a) Todas as áreas que necessitem.

    • b) Área financeira e de tecnologia da informação.

    • c) Áreas operacionais.

    • d) Áreas de marketing, finanças e de tecnologia da informação.

  • SIMULADO 1 MCSO 19. Que cuidado deve ser tomado no armazenamento de fitas de backup fora

    SIMULADO 1

    MCSO

    • 19. Que cuidado deve ser tomado no armazenamento de fitas de backup fora da organização?

      • a) O local de armazenamento deve estar protegido contra acessos não autorizados.

      • b) O local de armazenamento deve estar a, no mínimo, 25 quilômetros da organização.

      • c) O local de armazenamento deve ser de fácil acesso durante o expediente.

      • d) O local de armazenamento deve estar protegido por guardas armados.

  • 20. Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)?

    • a) O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação.

    • b) O PRD é mais abrangente que o PCN.

    • c) O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-se na continuidade para todos os processos.

    • d) O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados.

  • 21. Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre?

    • a) Um evento súbito, que ocorre de maneira inesperada.

    • b) Uma catástrofe de grandes impactos.

    • c) Um evento que causa uma parada nos processos da organização por um período de tempo maior do que ela considera aceitável.

    • d) Eventos de ordem natural ou acidental, como terremotos e incêndios.

  • 22. O mecanismo de extinção de incêndios conhecido por "dry pipe" é:

    • a) Um sistema de sprinklers onde a água não entra nos canos até que um sensor automático indique que existe fogo na área.

    • b) Um sistema de sprinklers que utiliza pó seco em vez de água.

    • c) Um sistema de dióxido de carbono usado para extinguir o fogo.

    • d) Um tipo de gás especial usado exclusivamente para incêndios em datacenters.

  • 23. Os itens abaixo podem ser considerados medidas preventivas, exceto:

    • a) Extintor de incêndio.

    • b) Treinamento.

    • c) Controle de acesso físico.

    • d) Circuito fechado de TV.

  • 24. Qual dos controles abaixo é um controle físico para segurança física?

    • a) Treinamento dos colaboradores.

    • b) Iluminação.

    • c) Material das instalações.

    • d) Procedimentos de resposta a incidentes de segurança física

  • SIMULADO 1 MCSO 25. Com relação ao processo de comunicação é correto afirmar: I. A percepção

    SIMULADO 1

    MCSO

    • 25. Com relação ao processo de comunicação é correto afirmar:

      • I. A percepção que cada indivíduo tem do mundo ou de uma situação em particular pode interferir no processo de comunicação. II. A decodificação da mensagem depende da interpretação dada aos códigos usados pelo emissor. III. Códigos que expressam sensações e sentimentos caracterizam a comunicação oral e devem ser considerados. IV. Auto-suficiência, confusão de referências e desconforto são considerados ruídos da comunicação apenas com relação ao receptor da mensagem.

    • V. O estado de espírito entre os interlocutores não interfere no processo de comunicação. A linguagem simbólica não deve ser considerada para a segurança das informações.

    VI.

    a)

    As alternativas I, II e VI estão corretas.

    b)

    As alternativas III, IV e V estão corretas.

    c)

    As alternativas I, IV e V estão corretas.

    d)

    As alternativas I, II e III estão corretas.

    26.

    Ao elaborar e comunicar uma Política de Segurança da Informação é necessário:

    I.

    Usar uma linguagem conhecida.

    II.

    Usar meios adequados aos tipos de mensagens e usuários.

    III.

    Adotar estilo simples e claro.

    IV.

    Respeitar o interlocutor sem superestimá-lo nem subestimá-lo.

    • V. Respeitar a cultura organizacional e a do país a que se destina.

      • a) As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam.

      • b) As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única, mesmo para uma multinacional, e as características humanas e legais do país na qual é aplicada não podem interferir na sua tradução.

      • c) As alternativas I, II, IV e V estão corretas, mas a III está errada porque uma política deve ser construída considerando-se uma linguagem tecnológica independentemente dos tipos de usuários a que se destina.

      • d) As alternativas I, II, III e V estão corretas, mas a IV está errada porque deve supor-se que todos os usuários foram selecionados pela empresa, portanto entendem a tecnologia usada.

    • 27. Com relação aos crimes de informática:

      • a) Só há punição criminal possível quando a lei prevê expressamente crimes cometidos mediante uso de computadores.

      • b) A maioria dos crimes de informática já é punida pelo Código Penal e apenas uns poucos dependem de lei especial.

      • c) Se uma conduta enseja o direito à indenização, automaticamente enseja também uma sanção criminal.

      • d) Não existem crimes de informática, da mesma forma como não existem crimes de máquinas de escrever ou de televisores.

    SIMULADO 1 MCSO 28. Qual o procedimento ideal e correto para preservação de uma prova eletrônica,

    SIMULADO 1

    MCSO

    • 28. Qual o procedimento ideal e correto para preservação de uma prova eletrônica, nos casos abaixo:

      • a) Página na Internet print screen.

      • b) Página na Internet impressão.

      • c) E-mail impressão e preservação da mensagem original com a gravação em mídia própria.

      • d) E-mail elaboração de ata notorial e preservação da mensagem original com a gravação em mídia própria.

  • 29. Quando uma empresa que provê acesso à Internet informa os dados do usuário que utilizou determinado endereço IP, em determinada data e horário, para fins ilícitos, quais as sanções que o usuário poderia sofrer apenas com esta informação:

    • a) Sanções na esfera Cível e Criminal, pois com a informação prestada já sabemos quem é o autor do ato ilícito.

    • b) Apenas Sanção na esfera Cível, pois apenas sabemos quem é o responsável pelo Contrato com a empresa que proveu o acesso à Internet e não quem efetivamente cometeu o ato ilícito.

    • c) Se o fato constitui crime, apenas sanção na esfera criminal.

    • d) Nenhuma das alternativas apontadas está correta.

  • 30. Qual o maior obstáculo ao aumento dos investimentos em Segurança da Informação dentro das organizações?

    • a) A falta de conscientização da alta administração.

    • b) Os altos preços praticados pelos fabricantes de soluções.

    • c) A impossibilidade de justificar os benefícios dos investimentos.

    • d) A falta de argumentos que justifiquem os investimentos.

  • 31. Indicadores são importantes na gestão da segurança da informação para:

    • a) Reduzir os riscos dos ambientes.

    • b) Melhorar a obtenção de recursos.

    • c) Avaliar e comunicar os resultados trazidos.

    • d) Reduzir os riscos de problemas legais.

  • 32. Sobre a organização da área de segurança da informação é possível afirmar que:

    • a) Caso a área de segurança da informação esteja subordinada a área de TI o CSO não conseguirá exercer suas responsabilidades pois está controlando o seu chefe.

    • b) O comitê de segurança deve possuir apenas caráter informativo pois os executivos não devem ser envolvidos nas deliberações de segurança da informação.

    • c) A área de segurança existe para garantir a segurança da empresa e por isso deve realizar a tarefa sozinha.

    • d) Nenhuma das alternativas anteriores.

  • 33. O tamanho de uma chave criptográfica esta diretamente relacionada:

    • a) À qualidade do algoritmo de criptografia.

    • b) Ao tamanho do hash gerado por esta criptografia.

    • c) Ao tipo de criptografia a ser utilizada: simétrica ou assimétrica.

    • d) Ao tempo necessário para se fazer um ataque de força bruta.

  • SIMULADO 1 MCSO 34. Qual dos itens abaixo não representa uma boa prática de segurança no

    SIMULADO 1

    MCSO

    34. Qual dos itens abaixo não representa uma boa prática de segurança no uso de criptografia?

    • a) Realizar a troca constante da chave de criptografia utilizada.

    • b) Fazer backups de chaves privadas usadas para assinatura digital, armazenando-as com terceiros.

    • c) Utilizar algoritmos de criptografia públicos já testados em diversos ambientes.

    • d) Utilizar dispositivos apropriados para a geração e armazenamento de chaves.

    35. Qual

    o

    maior

    diferencial

    dos

    algoritmos

    de

    criptografia

    Cryptography) em relação a tecnologias similares?

    assimétrica ECC (Elliptic Curve

    • a) O ECC não precisa de chaves privadas para decodificar informações.

    • b) O ECC é o único sistema assimétrico completo, incluindo confidencialidade, assinatura digital e integridade.

    • c) O ECC oferece um nível de segurança similar aos outros algoritmos assimétricos, porém utilizando chaves menores.

    • d) O ECC é o único algoritmo suportado por smart cards.

    36. Qual algoritmo abaixo não é um Block Cipher?

    • a) DES.

    • b) RC4.

    • c) RC6.

    • d) Rijndael.

    37. Qual algoritmo abaixo é um algoritmo de transposição?

    • a) Scytale.

    • b) Enigma.

    • c) Cifra de Cesar.

    • d) Vigenéré.

    38. A biometria é uma tecnologia que pode ser utilizada tanto no processo de identificação, como no processo de autenticação.

    • a) Verdadeiro, pois a tecnologia oferece mecanismos que podem ser usados em ambos os processos.

    • b) Falso, a biometria quando usada com outro mecanismo de autenticação torna a tecnologia vulnerável.

    • c) Verdadeiro, porém, a biometria deve ser utilizada para os dois processos simultaneamente.

    • d) Falso, a biometria é incapaz de oferecer informações suficientes para identificação.

    39. Das opções abaixo, qual é a forma mais utilizada para armazenar as senhas dos usuários dentro de um sistema operacional:

    • a) Codificá-las usando criptografia assimétrica.

    • b) Codificá-las com uma chave simétrica armazenada dentro do sistema.

    • c) Usar uma função hash em cada uma das senhas e armazenar os resultados em um arquivo sem proteção criptográfica.

    • d) Usar um sistema de dupla criptografia no arquivo de senhas.

    SIMULADO 1 MCSO 40. Qual seria a principal vantagem de se utilizar certificados digitais para autenticação

    SIMULADO 1

    MCSO

    • 40. Qual seria a principal vantagem de se utilizar certificados digitais para autenticação em comparação com o uso de senhas estáticas?

      • a) Os certificados digitais provêm também a irretratabilidade (não-repúdio).

      • b) Os certificados digitais só funcionam com tokens de autenticação.

      • c) Os certificados digitais permitem a autenticação de dois fatores.

      • d) A autenticação via certificados digitais possui uma integração mais fácil com sistemas antigos.

  • 41. O conceito de single sign-on prevê que:

    • a) Os usuários se autentiquem em cada sistema utilizando uma base de dados centralizada.

    • b) Os usuários se autentiquem somente uma vez e possam acessar todos os recursos disponíveis a eles.

    • c) Os usuários se autentiquem utilizando certificados digitais.

    • d) Os usuários possam acessar os sistemas que têm permissão sem um processo formal de autenticação.

  • 42. Qual modelo de controle de acesso especifica interfaces restritas como proteção

    • a) Biba.

    • b) Bell-LaPadula.

    • c) Clark-Wilson.

    • d) Terminal Services.

  • 43. Qual a principal diferença entre ataques passivos e ativos?

    • a) Ataques passivos interagem com a vítima sem realizar alterações; ativos alteram o estado ou comportamento da vítima sem interagir com ela.

    • b) Ataques passivos representam testes, o que não causa danos à vítima.

    • c) Ataques passivos sempre afetam de maneira conjunta os três princípios da segurança: Confidencialidade, Integridade e Disponibilidade.

    • d) Ataques ativos comprometem o funcionamento dos sistemas atacados, sendo que os ataques passivos apenas capturam informações.

  • 44. Qual das opções abaixo é um exemplo de host?

    • a) Estação de trabalho.

    • b) Roteador.

    • c) Switch.

    • d) Bridge.

  • 45. Modelo TCP/IP, também conhecido como Modelo DoD (Department of Defense), possui quais camadas de comunicação?

    • a) Física, Enlace, Rede, Transporte e Aplicação.

    • b) Física, Enlace, Internet, Transporte e Aplicação.

    • c) Física, Enlace, Internet, e Aplicação.

    • d) Acesso a rede, Internet, Transporte e Aplicação.

  • SIMULADO 1 MCSO 46. O que pode ser considerado uma limitação do NAT ( Network Address

    SIMULADO 1

    MCSO

    • 46. O que pode ser considerado uma limitação do NAT (Network Address Translation) estático em comparação com o dinâmico?

      • a) Só permite a conversão de conexões abertas para as portas privilegiadas do TCP/IP.

      • b) Todas as máquinas a serem convertidas precisam estar localizadas em um mesmo segmento da rede.

      • c) O campo de dados do pacote não pode ser cifrado.

      • d) Quando usado na tradução de pacotes saindo de uma rede inválida, um endereço válido é necessário para cada endereço inválido sendo convertido.

  • 47. Qual dos seguintes protocolos pode ser utilizado para autenticar usuários em uma rede Wi-Fi?

    • a) WEP (Wireless Equivalent Privacy).

    • b) WPA (Wi-Fi Protected Access).

    • c) WPA2 (Wi-Fi Protected Access 2).

    • d) EAP-TLS (Extensible Authentication Protocol-Transport Layer Security).

  • 48. “Uma prática comum de segurança é replicar as informações de log dos servidores para uma máquina dedicada (Syslog Host)”. A afirmação é:

    • a) Falsa, pois expõe os logs de outros servidores em caso de invasão.

    • b) Verdadeira, pois isola os logs em caso de invasão.

    • c) Falsa, pois aumenta o número de arquivos de log analisados.

    • d) Verdadeira, pois separa os logs do sistema de logs de uma invasão.

  • 49. Qual dos seguintes protocolos oferece single sign-on?

    • a) LM (Lan Manager).

    • b) NTLM (NT Lan Manager).

    • c) NTLMv2 (NT Lan Manger version 2).

    • d) Kerberos.

  • 50. Qual das opções abaixo melhor descreve o conceito do reference monitor?

    • a) Um mecanismo utilizado para autenticar os usuários.

    • b) Um componente da arquitetura dos sistemas operacionais responsável por mediar as operações de controle de acesso.

    • c) A implementação do security kernel do sistema operacional.

    • d) É um componente que só existe em sistemas que implementam Mandatory Access Control (MAC).