Escolar Documentos
Profissional Documentos
Cultura Documentos
b. Um antivírus que atua diretamente na conexão de uma rede interna, protegida, com o mundo
exterior, de acordo com o tipo de malware a ser evitado.
e. Um servidor de nomes Web, utilizado para converter as palavras que compõem uma URL para o
endereço IP correspondente.
2. A autenticação de usuários para acesso restrito aos sistemas de informações pode ser feita pelo uso
de senhas, tokens e sistemas biométricos. Os tokens são:
a. objetos que o usuário possui, que o diferencia das demais pessoas e o habilita a um
determinado acesso.
c. senhas fortes bem definidas e cartões inteligentes com microprocessadores como os bancários,
telefônicos e de crédito.
d. sistemas mais seguros do que os biométricos, que suprem as deficiências de segurança dos
dados biométricos.
3. O conjunto de procedimentos e ações que são utilizados para adquirir informações de uma
organização ou de uma pessoa por meio de contatos falsos sem o uso da força, do arrombamento
físico ou de qualquer brutalidade é denominado
c. Engenharia social.
e. Engenharia reversa.
AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2
4. A norma ISO 27002 estabelece que o objetivo da classificação das informações (atribuição de grau
de confidencialidade) é a garantia de que os ativos de informação receberão um nível de proteção
adequado. Ainda segundo a norma, as informações devem ser classificadas para indicar a
necessidade, as prioridades e o grau de proteção. Com base nesse objetivo, a norma estabelece
diretrizes para essa classificação, entre as quais se inclui a de
d. manter o princípio de equidade que garante aos funcionários com funções similares o mesmo
direito de acesso às informações classificadas.
e. rotular as informações e as saídas geradas pelos sistemas que tratam dados confidenciais,
segundo seu valor e sensibilidade para a organização.
6. Uma organização faz com que cada administrador de sistema seja responsável pela segurança do
sistema que ele executa. No entanto, o gerenciamento determina quais programas devem estar no
sistema e como eles devem ser configurados.
7. A segurança da informação deve ser observada durante todo o ciclo de vida da informação. Quais as
fases do ciclo de vida da informação?
9. Malwares são programas especificamente desenvolvidos para executar ações danosas e atividades
maliciosas em equipamentos. Descreva as seguintes classes de malwares:
a. Vírus
AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2
b. Worm
c. Cavalo de Tróia
d. Ransomware
10. As falhas decorrentes da interação (ou operacionais) ocorrem durante o uso do sistema e em função
da interação deste com o ambiente e com os usuários, de problemas na configuração ou da
mudança de parâmetros operacionais, da instalação, da manutenção ou da atualização do sistema.
Geralmente essas falhas ocorrem devido a uma vulnerabilidade. O que é uma vulnerabilidade? E
como pode ser classificada?
11. O acesso aos recursos de um sistema operacional requer a autenticação do usuário. Essa
autenticação pode ser realizada por meio de senhas de acesso. Entretanto, essa forma de
autenticação pode sofrer ataques. Para tornar mais robusta a autenticação e reduzir a probabilidade
de ataques bem sucedidos, pode ser adotado um mecanismo de autenticação multifatores. Defina
autenticação e como ocorre a autenticação multifatores.
12. Um atacante (agente de ameaça) pode oferecer uma ameaça a um sistema que se encontra em
estado de vulnerabilidade podendo efetuar um ataque. Por isso é importante haver um controle
sobre as vulnerabilidades para minimizar a probabilidade de chance de falha e impactos
indesejados. Estas ameaças podem ser divididas em 4 classes: divulgação, decepção, interrupção e
usurpação. Defina cada uma destas classes de ameaças.
II. Programas que se propagam em uma rede sem necessariamente modificar programas nas
máquinas de destino.
III. Programas que parecem ter uma função inofensiva, porém, têm outras funções sub-reptícias.
14. (ESAF 2007 – SEFAZ CE – Auditor Fiscal) Nos sistemas de Segurança da Informação, existe um
método que ____________________________. Este método visa garantir a integridade da
informação. Escolha a opção que preenche corretamente a lacuna acima.
c. verifica se uma mensagem em trânsito foi lida por pessoas não autorizadas
15. Considere as afirmações abaixo relativas à norma ISO ABNT NBR ISO/IEC 27002:2013, seção 8.2 –
Classificação da informação.
I. A rotulagem de informação e de ativos relacionados pode ter efeitos negativos, visto que ativos
classificados são mais fáceis de identificar e, consequentemente, facilitam o roubo por pessoas
que circulam no ambiente.
a. Apenas I.
b. Apenas II.
c. Apenas III.
d. Apenas I e II.
e. I, II e III.
16. Cerca de 51% das empresas brasileiras disseram ter sido vítimas de um ataque do tipo ransomware no
ano passado. Ransomware é um tipo de software maligno que impede o acesso dos usuários aos
sistemas da empresa vítima. O ataque costuma codificar os dados da vítima, que só poderá recuperar
o acesso se obtiver uma chave de acesso. O principal meio de infecção continua sendo o email e as
AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2
páginas web com uso de engenharia social, e a propagação na rede através de exploração de
vulnerabilidades. Outro facilitador são as permissões administrativas atribuídas aos usuários comuns
da rede.
c. controle de acesso dos ativos, teste de segurança do sistema, dispositivos móveis e trabalho
remoto.
I. Não é papel do usuário do computador se preocupar com a segurança da informação, quando uma
organização possui uma equipe dedicada a tratar exclusivamente desse assunto.
II. O firewall é o primeiro sistema de detecção de intrusão que deve ser instalado no perímetro da
rede de computadores de uma organização, ou seja, entre a rede local e a Internet.
III. Um programa de auditoria interna deve ser planejado levando em consideração a situação e a
importância dos processos e áreas a serem auditadas, bem como os resultados de auditorias
anteriores. Os critérios da auditoria, escopo, frequência e métodos devem ser definidos. A seleção
dos auditores e a execução das auditorias devem assegurar objetividade e imparcialidade do
processo de auditoria. Os auditores não devem auditar o seu próprio trabalho.
a. Apenas I.
b. Apenas II.
c. Apenas III.
d. Apenas I e II.
AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2
e. I, II e III.
18. Um departamento de uma organização mantém o seu próprio ambiente de dados, com unidades de
rede não acessíveis a outros setores da empresa.
a. ação preventiva.
b. autenticidade.
c. confiabilidade.
d. confidencialidade.
e. Disponibilidade.
19. Um dos desafios atuais da segurança da informação é o crescente uso de BYOD (bring your own
device, ou, em português, traga seu próprio dispositivo) nas instituições. Notebooks, tablets e
principalmente smartphones estão invadindo as redes institucionais. Nesse contexto, são necessárias
políticas, procedimentos e tecnologias especializadas acerca do tema. Com base na NBR ISO/IEC n.º
27002, em uma política de dispositivos móveis, é correto:
a. validar informações de entrada no sistema somente quando todos os dados de entrada estiverem
completos e íntegros, em conformidade com as boas práticas.
b. separar o uso do dispositivo para negócio e para fins pessoais, incluindo os softwares para apoiar
essa separação e proteger os dados do negócio em um dispositivo privado.
e. segregar as funções de controle de acesso como, por exemplo, pedido de acesso, autorização de
acesso e administração de acesso.
20. A respeito das políticas de segurança da informação nas organizações, julgue os itens a seguir.
AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2
II. Devem-se evitar, nas políticas de segurança, definições de papéis internos à organização ou de
diretrizes de acessos a recursos, em razão do nível de detalhamento exigido nessas definições.
a. I e II.
b. I e III.
c. II e IV.
d. I, III e IV.
21. A Tecnologia da Informação (TI) exerce papel cada vez mais relevante para as instituições da
Administração Pública Federal (APF). Por isso, tem crescido também a importância de se proteger as
informações e os ativos de TI com relação aos riscos e às ameaças que se apresentam nessa área.
Com base nas informações apresentadas, é correto afirmar que confidencialidade de informações
consiste na:
22. O planejamento da política de segurança deve ser realizado tendo como diretriz o caráter geral e
abrangente de todos os pontos, incluindo as regras que devem ser obedecidas por todos. Essas regras
devem especificar quem pode acessar quais recursos, quais os tipos de uso permitidos no sistema,
bem como os procedimentos e controle necessários para proteger as informações. Assinale a
alternativa que apresente uma visão geral do planejamento.
a.
b.
c.
d.
e.
23. A maior parte dos problemas que ocorrem em relação à segurança da informação é gerada por pessoas
que tentam obter algum tipo de benefício ou causar prejuízos às organizações. Para garantir a
segurança adequada em uma organização, as seguintes medidas de segurança devem ser aplicadas,
EXCETO:
AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2
24. Assinale a alternativa que descreve corretamente um fator crítico de sucesso para a implantação da
segurança da informação dentro de uma organização:
a. Análise/avaliação e gestão de risco, por parte dos diretores da organização, para avaliar os pontos
de falha no cumprimento das políticas de segurança da informação e propor melhorias nos
processos organizacionais de gestão de incidentes de segurança da informação.
I. Ameaça: algo que possa provocar danos à segurança da informação, prejudicar as ações da
empresa e sua sustentação no negócio, mediante a exploração de uma determinada
vulnerabilidade.
II. Vulnerabilidade: é medida pela probabilidade de uma ameaça acontecer e pelo dano potencial à
empresa.
III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas.
a. II e III.
AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2
b. III.
c. I.
d. I e II.
e. I e III.
a. Vulnerabilidade.
b. Impacto.
c. Probabilidade.
d. Risco.
e. Ameaça.
II. Uma Ameaça é uma expectativa de acontecimento acidental ou proposital, causada por um
agente, que pode afetar um ambiente, sistema ou ativo de informação.
III. A Vulnerabilidade é uma fonte produtora de um evento que pode ter efeitos adversos sobre um
ativo de informação.
IV. O Ataque é um evento decorrente da exploração de uma vulnerabilidade por uma ameaça.
a. I e II.
b. II e III.
c. III e IV.
d. I e III.
e. II e IV.
AUDITORIA DE SISTEMAS
LISTA DE EXERCÍCIOS NP2
28. Tendo como referência a figura abaixo, que propõe uma classificação de controles de segurança,
julgue os itens a seguir: