Escolar Documentos
Profissional Documentos
Cultura Documentos
Informao
baseados na norma ISO/IEC 27002
Exame simulado
All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system
or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN.
Introduo 4
Exame simulado 5
Gabarito de respostas 15
Avaliao 34
Este exame simulado consiste de 40 questes de mltipla escolha. Cada questo de mltipla
escolha possui um certo nmero de alternativas de resposta, entre as quais apenas uma resposta
a correta.
O nmero mximo de pontos que pode ser obtido neste exame 40. Cada resposta correta vale
um ponto. Para passar voc deve obter 26 pontos ou mais.
Boa Sorte!
1 de 40
2 de 40
A fim de ter uma aplice de seguro de incndio, o departamento administrativo deve determinar o
valor dos dados que gerencia.
Qual fator no importante para determinar o valor dos dados para uma organizao?
3 de 40
Um hacker obtm acesso a um servidor Web e pode exibir um arquivo no servidor que contm
nmeros de carto de crdito.
A. Disponibilidade
B. Confidencialidade
C. Integridade
4 de 40
Existe uma impressora de rede no corredor da empresa onde voc trabalha. Muitos funcionrios
no vo pegar suas impresses imediatamente e deixam o material na impressora.
Uma anlise de risco bem executada oferece uma grande quantidade de informaes teis. A
anlise de risco tem quatro principais objetivos.
Qual das opes abaixo no um dos quatro principais objetivos da anlise de risco?
6 de 40
A. Dependncia
B. Ameaa
C. Vulnerabilidade
D Risco
7 de 40
8 de 40
H alguns anos voc comeou sua empresa, que j cresceu de 1 para 20 empregados. As
informaes de sua empresa valem mais e mais e j passaram os dias em que voc podia manter
tudo em suas prprias mos. Voc est ciente de que precisa tomar medidas, mas quais? Voc
contrata um consultor, que o aconselha a comear com uma anlise de risco qualitativa.
A. Esta anlise segue um clculo preciso de probabilidade estatstica a fim de calcular a exata
perda causada pelo dano
B. Esta anlise baseada em cenrios e situaes e produz uma viso subjetiva de possveis
ameaas
10 de 40
Voc o proprietrio de uma companhia de correio (courier), SpeeDelivery. Voc realizou uma
anlise de risco e agora quer determinar sua estratgia de risco. Voc decide tomar medidas
contra os grandes riscos, mas no contra os pequenos riscos.
A. Reteno de risco
B. Preveno de risco
C. Reduo de risco
11 de 40
12 de 40
A. Um relmpago
B. Fogo
C. Phishing
Voc trabalha no escritrio de uma grande companhia. Voc recebe um telefonema de uma
pessoa dizendo ser do helpdesk. Ela pede para que voc lhe diga sua senha.
A. Ameaa natural
B. Ameaa organizacional
C. Engenharia social
14 de 40
15 de 40
A. Um cabo solto
B. Excluso acidental de dados
C. Utilizao privada de dados
16 de 40
A. Disponibilidade
B. Exatido
C. Integridade
D. Confidencialidade
18 de 40
A. Escalonamento funcional
B. Escalonamento hierrquico
19 de 40
Uma funcionria trabalhador de uma companhia de seguros descobre que a data de validade de
uma poltica foi alterada sem seu conhecimento. Ela a nica pessoa autorizada a fazer isso. Ela
relata este incidente de segurana ao helpdesk. O atendente do helpdesk registra as seguintes
informaes sobre este incidente:
- data e hora
- descrio do incidente
- possveis consequncias do incidente
20 de 40
A. Ameaa
B. Dano
C. Recuperao
22 de 40
23 de 40
24 de 40
A. O autor do documento
B. O administrador do documento
C. O proprietrio do documento
D. O gerente do proprietrio do documento
25 de 40
27 de 40
Na segurana fsica, mltiplas zonas em expanso (anis de proteo) podem ser aplicadas, nas
quais diferentes medidas podem ser adotadas.
A. Edifcio
B. Anel mdio
C. Objeto
D. Anel externo
28 de 40
Qual das ameaas listadas abaixo pode ocorrer como resultado da ausncia de uma medida de
segurana fsica?
29 de 40
As cpias de segurana (backup) do servidor central so mantidas na mesma sala fechada que o
servidor.
A. Se o servidor falhar, levar um longo tempo antes que o servidor esteja novamente em
funcionamento.
B. Em caso de incndio, impossvel recuperar o sistema ao seu estado anterior.
C. Ningum responsvel pelos backups.
D. Pessoas no autorizadas tm acesso fcil aos backups.
31 de 40
A. Bomba Lgica
B. Storm Worm ou Botnet
C. Cavalo de Troia
D. Spyware
32 de 40
A. Formular uma poltica para tratar da segurana de dispositivos mveis (PDAs, laptops,
smartphones, pen drive)
B. Designar uma equipe de segurana
C. Criptografar os discos rgidos dos laptops e mdias de armazenamento externo, como pen
drives
D. Estabelecer uma poltica de controle de acesso
34 de 40
35 de 40
A. Autenticao
B. Autorizao
C. Identificao
36 de 40
A. A fim de sempre ter acesso s cpias de segurana (backups) recentes, que esto localizadas
fora do escritrio
B. Para ser capaz de lidar com as falhas que ocorrem diariamente
C. Porque, de outra forma, na eventualidade de uma grande interrupo, as medidas tomadas e
os procedimentos previstos podem no ser adequados ou podem estar desatualizados.
D. Porque isso exigido pela Lei de Proteo de Dados Pessoais
Com base em qual legislao algum pode pedir para inspecionar seus dados pessoais que
tenham sido registrados (em pases onde a lei aplicvel)?
38 de 40
Qual a legislao ou ato regulatrio relacionado segurana da informao que pode ser
imposto a todas as organizaes (em pases onde a lei aplicvel)?
39 de 40
Em termos legais, de que forma o uso da internet e do e-mail pode ser melhor regulado?
A. Instalando um aplicativo que impea o acesso a certos sites da Internet e que realizem
filtragem em arquivos anexados a e-mails
B. Elaborando um cdigo de conduta para o uso da internet e do e-mail, no qual os direitos e
obrigaes tanto do empregador quanto dos empregados estejam claramente declarados
C. Implementando normas de privacidade
D. Instalando rastreadores de vrus
40 de 40
A. O empregador poder fazer essa verificao, se o funcionrio for informado depois de cada
sesso de verificao
B. O empregador poder fazer essa verificao se os funcionrios forem informados que isso
pode acontecer
C. O empregador poder fazer essa verificao se um firewall tambm estiver instalado
2 de 40
A fim de ter uma aplice de seguro de incndio, o departamento administrativo deve determinar o
valor dos dados que gerencia.
Qual fator no importante para determinar o valor dos dados para uma organizao?
Um hacker obtm acesso a um servidor Web e pode exibir um arquivo no servidor que contm
nmeros de carto de crdito.
A. Disponibilidade
B. Confidencialidade
C. Integridade
A. Incorreto. O hacker no excluiu o arquivo nem negou acesso a entidades autorizadas, de forma
alguma; portanto, a disponibilidade no foi prejudicada.
B. Correto. O hacker conseguiu ler o arquivo (confidencialidade). (Captulo 3)
C. Incorreto. No houve nenhuma informao alterada no arquivo de carto de crdito; portanto, a
integridade do arquivo no foi violada.
4 de 40
Existe uma impressora de rede no corredor da empresa onde voc trabalha. Muitos funcionrios
no vo pegar suas impresses imediatamente e deixam o material na impressora.
A. Incorreto. A integridade das informaes continua garantida, pois o material est impresso em
papel.
B. Incorreto. As informaes continuam disponveis no sistema utilizado para criar e imprimi-las.
C. Correto. As informaes podem acabar sendo lidas por pessoas que no deveriam ter acesso a
elas. (Captulo 3)
Uma anlise de risco bem executada oferece uma grande quantidade de informaes teis. A
anlise de risco tem quatro principais objetivos.
Qual das opes abaixo no um dos quatro principais objetivos da anlise de risco?
6 de 40
A. Dependncia
B. Ameaa
C. Vulnerabilidade
D Risco
8 de 40
H alguns anos voc comeou sua empresa, que j cresceu de 1 para 20 empregados. As
informaes de sua empresa valem mais e mais e j passaram os dias em que voc podia manter
tudo em suas prprias mos. Voc est ciente de que precisa tomar medidas, mas quais? Voc
contrata um consultor, que o aconselha a comear com uma anlise de risco qualitativa.
A. Esta anlise segue um clculo preciso de probabilidade estatstica a fim de calcular a exata
perda causada pelo dano
B. Esta anlise baseada em cenrios e situaes e produz uma viso subjetiva de possveis
ameaas
10 de 40
Voc o proprietrio de uma companhia de correio (courier), SpeeDelivery. Voc realizou uma
anlise de risco e agora quer determinar sua estratgia de risco. Voc decide tomar medidas
contra os grandes riscos, mas no contra os pequenos riscos.
A. Reteno de risco
B. Preveno de risco
C. Reduo de risco
A. Correto. Um pen drive que passa vrus para a rede sempre inserido por uma pessoa. Desta
forma, um vrus que entra na rede, por esse meio uma ameaa human. (Captulo 3)
B. Incorreto. A poeira no uma ameaa humana.
C. Incorreto. A falha de energia eltrica no uma ameaa humana.
12 de 40
A. Um relmpago
B. Fogo
C. Phishing
13 de 40
Voc trabalha no escritrio de uma grande companhia. Voc recebe um telefonema de uma
pessoa dizendo ser do helpdesk. Ela pede para que voc lhe diga sua senha.
A. Ameaa natural
B. Ameaa organizacional
C. Engenharia social
A. Incorreto. Uma chamada telefnica uma ao humana; portanto, no uma ameaa natural.
B. Incorreto. O termo ameaa organizacional no um termo comum para um tipo de ameaa.
C. Correto. O uso de expresses ou nomes corretos de pessoas conhecidas e seus departamentos
d a impresso de que um colega tentando obter segredos da empresa e segredos comerciais.
Voc deve verificar se est realmente falando com o helpdesk. Um funcionrio do helpdesk jamais
solicitar sua senha. (Captulo 3)
A. Incorreto. A realizao de um acordo stand-by sem que primeiro haja um incidente muito cara.
B. Incorreto. A recuperao ocorre aps o acordo stand-by entrar em vigor.
C. Incorreto. Os danos e a recuperao so realmente limitados pelo acordo stand-by.
D. Correto. Um acordo stand-by uma medida corretiva iniciada a fim de limitar os danos.
(Captulo 3)
15 de 40
A. Um cabo solto
B. Excluso acidental de dados
C. Utilizao privada de dados
A. Disponibilidade
B. Exatido
C. Integridade
D. Confidencialidade
17 de 40
A. Escalonamento funcional
B. Escalonamento hierrquico
19 de 40
Uma funcionria trabalhador de uma companhia de seguros descobre que a data de validade de
uma poltica foi alterada sem seu conhecimento. Ela a nica pessoa autorizada a fazer isso. Ela
relata este incidente de segurana ao helpdesk. O atendente do helpdesk registra as seguintes
informaes sobre este incidente:
- data e hora
- descrio do incidente
- possveis consequncias do incidente
A. Ameaa
B. Dano
C. Recuperao
A. Incorreto. O dano se segue aps o incidente. A ordem correta das etapas ameaa, incidente,
dano e recuperao.
B. Correto. A ordem das etapas do ciclo do incidente : ameaa, incidente, dano e recuperao.
(Captulo 16)
C. Incorreto. O dano sucede o incidente. A ordem correta das etapas ameaa, incidente, dano e
recuperao.
21 de 40
A. Incorreto. Por meio de um sistema de registro, somente depois que o incidente ocorreu
possvel pesquisar sobre o que aconteceu. Esta uma medida de deteco, que visa detectar os
incidentes.
B. Incorreto. A desativao de todo o trfego de Internet uma medida repressiva, que visa a
limitar um incidente.
C. Correto. O armazenamento em cofre uma medida preventiva que evita danos s informaes
sigilosas. (Captulo 3)
23 de 40
24 de 40
A. O autor do documento
B. O administrador do documento
C. O proprietrio do documento
D. O gerente do proprietrio do documento
26 de 40
Na segurana fsica, mltiplas zonas em expanso (anis de proteo) podem ser aplicadas, nas
quais diferentes medidas podem ser adotadas.
A. Edifcio
B. Anel mdio
C. Objeto
D. Anel externo
28 de 40
Qual das ameaas listadas abaixo pode ocorrer como resultado da ausncia de uma medida de
segurana fsica?
A. Incorreto. O controle lgico de acesso uma medida tcnica que impede o acesso no
autorizado aos documentos de outro usurio.
B. Correto. A segurana fsica inclui a proteo de equipamentos por meio do controle de
temperatura (ar-condicionado, umidade do ar). (Captulo 11)
C. Incorreto. Uma poltica de segurana deve abranger as regras de como lidar com documentos
confidenciais. Todos os funcionrios devem estar cientes dessa poltica e praticar as regras. uma
medida organizacional.
D. Incorreto. Impedir que hackers entrem no computador ou na rede uma medida tcnica.
30 de 40
As cpias de segurana (backup) do servidor central so mantidas na mesma sala fechada que o
servidor.
A. Se o servidor falhar, levar um longo tempo antes que o servidor esteja novamente em
funcionamento.
B. Em caso de incndio, impossvel recuperar o sistema ao seu estado anterior.
C. Ningum responsvel pelos backups.
D. Pessoas no autorizadas tm acesso fcil aos backups.
A. Incorreto. Pelo contrrio, isso ajudaria a recuperar o sistema operacional mais rapidamente.
B. Correto. A chance de que as cpias de segurana tambm possam ser destrudas em um
incndio muito grande. (Captulo 11)
C. Incorreto. A responsabilidade no tem nada a ver com o local de armazenamento.
D. Incorreto. A sala de informtica est trancada.
A. Bomba Lgica
B. Storm Worm ou Botnet
C. Cavalo de Troia
D. Spyware
A. Incorreto. Uma bomba lgica nem sempre um malware. parte de cdigo incorporada a um
sistema de software.
B. Correto. Um worm um pequeno programa de computador que se reproduz propositadamente
e cpias do original so distribudas atravs da rede de seu host. (Captulo 12)
C. Incorreto. Um cavalo de Troia um programa que, alm de realizar a funo para a qual foi
criado, realiza propositadamente atividades secundrias, sem que o usurio perceba.
D. Incorreto. Um spyware um programa de computador que coleta informaes sobre o usurio
do computador e as envia a terceiros.
32 de 40
A. Incorreto. O MAC est relacionado com o controle de acesso, o que no impede que um usurio
seja convencido a executar algumas aes como resultado do ataque direcionado.
B. Correto. A vulnerabilidade inerente a essa ameaa a falta de conscincia do usurio. Os
usurios so convencidos, nesses tipos de ataques, a executar algum cdigo que viola a poltica
(por exemplo, instalar software suspeito). Combater esse tipo de ataques com um programa de
conscientizao de segurana reduzir a possibilidade de recorrncia no futuro. (Captulo 12)
C. Incorreto. Embora o firewall possa, por exemplo, bloquear o trfego que resultou da instalao
de software malicioso, no ser til para evitar a recorrncia da ameaa.
D. Incorreto. O ataque direcionado no precisa usar e-mail. O indivduo que realiza o ataque pode
usar sites de relacionamento ou at mesmo o telefone para fazer contato com a vtima
A. Formular uma poltica para tratar da segurana de dispositivos mveis (PDAs, laptops,
smartphones, pen drive)
B. Designar uma equipe de segurana
C. Criptografar os discos rgidos dos laptops e mdias de armazenamento externo, como pen
drives
D. Estabelecer uma poltica de controle de acesso
A. Correto. A poltica sobre como usar dispositivos mveis uma medida organizacional, e
medidas de segurana para laptops podem ser obrigatrias. (Captulo 6)
B. Incorreto. Designar uma equipe de segurana uma medida tcnica. Quando algum leva um
laptop para fora do escritrio, o risco de vazamento de informaes permanece.
C. Incorreto. Criptografar os discos rgidos de laptops e pen drives uma medida tcnica. Isso
pode ser realizado com base em uma medida organizacional.
D. Incorreto. A poltica de controle de acesso uma medida organizacional, que abrange apenas o
acesso a edifcios ou sistemas de TI.
34 de 40
A. Autenticao
B. Autorizao
C. Identificao
36 de 40
A. A fim de sempre ter acesso s cpias de segurana (backups) recentes, que esto localizadas
fora do escritrio
B. Para ser capaz de lidar com as falhas que ocorrem diariamente
C. Porque, de outra forma, na eventualidade de uma grande interrupo, as medidas tomadas e
os procedimentos previstos podem no ser adequados ou podem estar desatualizados.
D. Porque isso exigido pela Lei de Proteo de Dados Pessoais
A. Incorreto. Esta uma das medidas tcnicas utilizadas para recuperar um sistema.
B. Incorreto. Para interrupo normais, as medidas usualmente executadas e os procedimentos de
incidentes so suficientes.
C. Correto. Uma grande interrupo requer planos atualizados e testados. (Captulo 17)
D. Incorreto. A Lei de Proteo de Dados Pessoais envolve a privacidade dos dados pessoais.
Com base em qual legislao algum pode pedir para inspecionar seus dados pessoais que
tenham sido registrados (em pases onde a lei aplicvel)?
38 de 40
Qual a legislao ou ato regulatrio relacionado segurana da informao que pode ser
imposto a todas as organizaes (em pases onde a lei aplicvel)?
Em termos legais, de que forma o uso da internet e do e-mail pode ser melhor regulado?
A. Instalando um aplicativo que impea o acesso a certos sites da Internet e que realizem
filtragem em arquivos anexados a e-mails
B. Elaborando um cdigo de conduta para o uso da internet e do e-mail, no qual os direitos e
obrigaes tanto do empregador quanto dos empregados estejam claramente declarados
C. Implementando normas de privacidade
D. Instalando rastreadores de vrus
A. Incorreto. Instalar esse tipo de software regulamenta parcialmente o uso da Internet e do e-mail,
mas no o tempo gasto em uso privativo. Esta uma medida tcnica.
B. Correto. Em um cdigo de conduta, a utilizao da Internet e do e-mail pode ser documentada,
quais sites podem ou no ser visitados e at que ponto o uso privativo permitido. Estas so
normas internas.( Captulo 18)
C. Incorreto. Normas de privacidade somente regulamentam o uso de dados pessoais de
funcionrios e clientes, e no o uso da Internet e do e-mail.
D. Incorreto. Um mecanismo de varredura de vrus verifica os e-mails que chegam e softwares
maliciosos nas conexes com a Internet. Ele no regulamenta o uso da Internet e do e-mail. uma
medida tcnica.
40 de 40
A. O empregador poder fazer essa verificao, se o funcionrio for informado depois de cada
sesso de verificao
B. O empregador poder fazer essa verificao se os funcionrios forem informados que isso
pode acontecer
C. O empregador poder fazer essa verificao se um firewall tambm estiver instalado
A tabela abaixo apresenta as respostas corretas para as perguntas neste exame simulado.
www.exin.com