Simulados Página 1 de 7

Curso e-learning ISO 27002

Foundation

Tempo restante: 52:44

Simulado: ISO 27002 Foundation - Simulado 4 - 40 Perguntas em português

Total de questões: 40

Respostas corretas para ser aprovado: 26 ( 65% )

Tempo para realização do exame: 60 Minutos

1 ) Muitas vezes os funcionários têm permissão para usar telefone e internet para fins particulares, desde que o
trabalho na empresa não seja prejudicado com isto. Em muitas organizações, é usual o empregador monitorar o
que os funcionários fazem na internet, observando que tipos de sites eles acessam, mensagens trocadas
por e-mails, etc. Sob quais condições o empregador pode fazer este tipo de monitoramento?

O empregador jamais pode fazer isso - é um abuso de autoridade

O empregador somente pode fazer isso se existir uma firewall corporativa
O empregador pode fazer isso se existir um código de conduta acordado com os funcionários e estes estejam
cientes de que pode ocorrer este monitoramento; ainda assim, a legislação local sobre o assunto deve ser
observada
Cada vez que o empregador for fazer isso é necessário pedir autorização para o funcionário

2 ) A análise de riscos é usada para mapear os riscos que uma organização enfrenta. Um risco de dano ou possível
perda de informação é determinado por uma série de fatores. Para identificar estes riscos a organização deve
levantar todas as ameaças que têm potencial de causar danos. Qual é a relação entre ameaça e risco?

O risco é a probabilidade de uma ameaça ocorrer e suas respectivas consequências

A ameaça é a probabilidade do risco se materializar e suas respectivas consequências

3 ) O gerente de marketing tem o hábito de sair da sua sala e deixar vários relatórios sobre a mesa. Nesta situação,
corre-se o risco de alguém passar pela sala e ler estes documentos. Qual é a consequência em relação à
confiabilidade destas informações deixadas sobre a mesa?

A integridade das informações não pode ser mantida

A disponibilidade das informações não pode ser mantida
A confidencialidade das informações não pode ser mantida

4 ) Pessoas podem provocar danos à informação de forma involuntária. Qual das seguintes NÃO seria uma
ameaça humana não intencional?

Usuário pressiona o botão DELETE e descuidadamente confirma com o ENTER

Usuário usa um pen drive sem saber que este contém um vírus que infectará o sistema da empresa
Uso do extintor de incêndio para apagar um pequeno incêndio e consequentemente destruição do servidor
Engenharia social

5 ) Quais são os três requisitos de qualidade para uma informação?

Disponibilidade, integridade e exatidão

Disponibilidade, integridade e confidencialidade
Disponibilidade, correção e integridade

http://www.tiexames.com.br//ensino/simulado/simulado_questoes.php?COD_SIMUL... 17/08/2013
Simulados Página 2 de 7

6 ) Você é dono de um provedor de internet. Você está conduzindo uma análise de riscos e determinou que para
alguns riscos com baixa probabilidade e baixo impacto você não irá implementar nenhuma medida preventiva.
Nesta situação, que tipo de estratégia você está tomando para os riscos irrelevantes?

Neutralizar (ou reduzir) o risco

Aceitar (ou suportar) o risco
Evitar o risco

7 ) Você acabou de pressionar o botão DELETE e confirmou sem querer a exclusão de vários e-mails do webmail
da empresa. Você decide contatar a central de ajuda para que seja restaurado o último backup a fim recuperar
estas mensagens. Que tipo de medida será tomada neste caso?

Corretiva
Preventiva
Detectiva

8 ) Você observa que na sua empresa há alguns visitantes que aparecem no seu departamento sem serem
anunciados pela portaria. Que tipo de medida deve ser implementada para evitar este tipo de situação?

Medida de segurança física

Medida de segurança organizacional
Medida de segurança técnica

9 ) Qual das seguintes NÃO é uma medida de segurança física?

Instalar câmeras de vigilância nos corredores da empresa

Instalar equipamentos de climatização na sala dos servidores
Isolar cabos de telefonia e dados
Validar dados de entrada e saída nos aplicativos de TI

10 ) Qual das seguintes descreve o objetivo de se ter uma política de segurança para a organização?

Fornecer direção e suportar a segurança da informação na organização

Documentar o processo de tratamento de incidentes de segurança da informação
Estabelecer a segregação de funções na área de TI
Listar todos os riscos aos quais a organização está exposta

11 ) A análise de riscos é uma ferramenta usada no Gerenciamento de Riscos. Qual das opções abaixo melhor
descreve o propósito da análise de riscos?

É um método de mapeamento de riscos que somente considera riscos técnicos

Ajuda a esclarecer quais ameaças são relevantes para os processos operacionais da empresa e identifica
riscos associados; a partir disso, medidas de segurança podem ser determinadas
É um método para calcular o preço do seguro que a organização deverá pagar

12 ) Segurança física inclui também a proteção de equipamentos por meio de controle de climatização. Qual das
seguintes ameaças pode ocorrer se não houver uma climatização adequada na sala dos servidores?

Hackers podem invadir facilmente os servidores

A impressora no departamento de marketing pode parar de funcionar
A confidencialidade das informações pode ficar comprometida
O servidor pode se desligar devido ao superaquecimento

http://www.tiexames.com.br//ensino/simulado/simulado_questoes.php?COD_SIMUL... 17/08/2013
Simulados Página 3 de 7

13 ) A classificação das informações é uma das responsabilidades do proprietário da informação. Qual das opções
é um objetivo da classificação de informações em relação àsegurança da informação?

As informações são classificadas para tornar possível o estabelecimento de seus níveis de segurança
As informações são classificadas para tornar possível seu arquivamento no banco de dados
A partir da classificação das informações será possível desenvolver um aplicativo de gerenciamento de
documentos
14 ) Recentemente você instalou alarmes sonoros que disparam quando há qualquer movimento no ambiente em
sua empresa. Devido a várias ocorrências de alarme falso, você decide instalar também uma câmera escondida.
Que tipo de medida de segurança está sendo tomada?

Detectiva
Preventiva
Corretiva
Repressiva

15 ) Escândalos como o da empresa Enron e fraudes diversas que resultaram na perda de milhões de dólares
fizeram com o que os Estados Unidos tomassem medidas de segurança muito rigorosas para as empresas que
negociam ações na bolsa de valores norte-americana. A que lei uma empresa brasileira precisa atender caso
venha a negociar suas ações em uma bolsa de valores norte-americana?

Ato de títulos públicos

Lei de impostos européia
Lei Sarbanes-Oxley
Regulamentos de segurança do governo americano

16 ) Você chega para trabalhar na empresa e uma pasta sua que continha vários projetos importantes
desapareceu. Você sabe que você foi o último a sair da sala ontem. Quando você deve reportar este incidente de
segurança da informação?

Imediatamente
Depois de investigar por conta própria e esconder o fato para não deixar seu gerente preocupado
Depois de alguns dias, pois pode ser que a pasta reapareça
Não reportar este incidente, pois você tem uma cópia destes projetos

17 ) Muitas organizações precisam atender à legislação em relação à proteção de dados pessoais, incluindo dados
cadastrais de clientes. Qual seria uma boa maneira da organização garantir que toda a legislação e regulamentos
relevantes estão sendo cumpridos?

Apontar uma pessoa na organização que será responsável especificamente por determinados regulamentos
Apenas seguir as recomendações da ISO 27002
Adquirir um software de gerenciamento de informações compatível com leis e regulamentos

18 ) Um funcionário do departamento de TI foi demitido, e como ele sabia a senha do FTP do website da empresa,
resolveu dias depois excluir todos os arquivos no servidor. Como é conhecido este tipo de ameaça?

Ameaça humana não intencional

Ameaça humana intencional
Engenharia social
Ameaça não humana

19 ) Qual das seguintes é um exemplo de medida de segurança física?

http://www.tiexames.com.br//ensino/simulado/simulado_questoes.php?COD_SIMUL... 17/08/2013
Simulados Página 4 de 7

Para entrar na empresa, todos os funcionários precisam apresentar crachá na portaria

O acesso ao sistema corporativo via internet exige um certificado digital

Documentos confidenciais não podem ser impressos em impressoras compartilhadas

20 ) A organização deve tomar medidas para assegurar que informações confidenciais não caiam nas mãos de
pessoas erradas. Qual das medidas abaixo é mais efetiva para manter a confidencialidade de documentos?

Instalar detecção por infravermelho

Manter a mesa limpa enquanto estiver fora (política de mesa limpa)
Controlar o acesso ao prédio por meio de crachás magnéticos

21 ) Raul envia para Gisele uma proposta de projeto de implantação de equipamentos de segurança física. Quem
determina neste caso o significado e o valor da informação contida na proposta?

Raul, o remetente da informação

Raul e Gisele, remetente e destinatária da informação
Gisele, a destinatária da informação

22 ) Você precisa conduzir uma análise de riscos na sua empresa para determinar quais medidas terão que ser
tomadas. Existem dois tipos de análise que podem ser feitas: qualitativa e quantitativa. De que consiste a análise
qualitativa de riscos?

Ela tem como objetivo calcular, baseando-se no impacto do risco, o nível do prejuízo financeiro e a
probabilidade de uma ameaça se tornar um incidente
É baseada em cenários e situações; nesta abordagem, as chances de uma ameaça se tornar realidade são
examinadas com base em uma visão subjetiva
23 ) Uso de firewall é uma das medidas que podem ser tomadas para prevenir acesso eletrônico não autorizado à
rede de computadores da empresa. Se o software do firewall não for atualizado frequentemente, qual é o MAIOR
risco que existe?

Podem haver brechas de segurança que poderão permitir a hackers acessarem a rede
O servidor onde está instalada o firewall pode parar de funcionar
Corre-se o risco de receber e-mails não desejados (spam)
O firewall pode parar de funcionar

24 ) Medidas preventivas têm como foco prevenir incidentes de segurança da informação. Além de medidas
preventivas, quais outros tipos de medidas existem?

Redutivas, detectivas, repressivas e corretivas

Parciais, adaptativas e corretivas
Repressivas, adaptativas e corretivas

25 ) A análise de riscos produz uma lista de ameaças e suas importâncias relativas. O próximo passo é analisar
cada ameaça séria e identificar uma ou mais medidas para reduzir as ameaças. Para as ameaças irrelevantes a
organização pode considerar não tomar medidas preventivas. Entretanto, há medidas que são obrigatórias (a
organização não tem escolha). Quais são estas medidas?

Instalar um firewall
Instalar controle de acesso na portaria
Medidas para atender a leis e regulamentos
Controles de segurança estabelecidos na norma ISO 27001

26 ) Gerenciamento de acesso lógico é uma das medidas técnicas de segurança relacionada à TI. Gerenciamento
de acesso lógico visa à concessão de acesso à informação digital e serviços de informação a pessoas autorizadas,
bem como impedir que pessoas não autorizadas tenham acesso a essa informação digital ou serviço. Que tipo de

http://www.tiexames.com.br//ensino/simulado/simulado_questoes.php?COD_SIMUL... 17/08/2013
Simulados Página 5 de 7

gerenciamento de controle de acesso é centralizado e determina a quais sistemas as pessoas têm a acesso ou
quais pastas na rede cada pessoa pode acessar?

Controle de acesso mandatório (MAC)

Controle de acesso discricionário (DAC)
Infraestrutura de chave pública (PKI)

27 ) Qual das opções abaixo melhor descreve o que é um código de conduta?

É uma norma que especifica como os funcionários devem se comportar, e este padrão é igual em todas as
empresas
É uma legislação nacional que as empresas precisam observar
É um documento que estipula direitos e deveres do empregador e dos funcionários, estabelece regras de
comportamento em relação ao uso de recursos de TI e este código difere de empresa para empresa
28 ) O que um código de conduta pode estabelecer?

Que e-mails particulares não são permitidos a partir das contas de e-mail da empresa
Segregação de funções, estabelecendo atribuições e responsabilidades que o funcionário exerce no
departamento
Medidas de segurança técnicas que serão implementadas pelo departamento de TI

29 ) Uma empresa adotou um sistema de criptografia simétrica. Uma característica deste sistema é que o algoritmo
e a chave secreta que o remetente e o destinatário compartilham são os mesmos. Qual é o risco deste tipo de
criptografia?

Se a chave secreta se tornar conhecida, uma nova chave secreta deve ser fornecida para todos os
computadores
Se a infraestrutura de chave pública se tornar conhecida, uma nova chave secreta precisa ser fornecida para
todos os computadores
Se a chave pública se tornar conhecida, uma nova chave secreta precisa ser fornecida para todos os
computadores
30 ) Determinar que alguma coisa errada aconteceu pode não ser o suficiente. Quando algo errado acontece, um
incidente ocorre e a única coisa a fazer é minimizar as suas consequências. Este é o foco das medidas repressivas.
Após um incêndio, qual das seguintes é uma medida repressiva?

Contratar um seguro contra incêndio

Apagar o incêndio depois que foi detectado pelo detector de fumaça
Reparar o estrago causado pelo incêndio
Instalar um detector de fumaça

31 ) As medidas que a organização toma para tratar os riscos precisam estar alinhadas aos objetivos de segurança
da informação, e estes objetivos precisam suportar os objetivos de negócio da organização. Qual é o nome do
sistema que garante a segurança da informação coerente para a organização?

Sistema de Gerenciamento da Segurança da Informação (SGSI)

Sistema de Gerenciamento de Riscos
Sistema de Gerenciamento da Qualidade (SGQ)
Sistema de Gerenciamento da Configuração (SGC)

32 ) Na concessão de acesso, há um distinção entre os termos identificação, autenticação e autorização.

Identificação é o primeiro passo no processo de concessão de acesso. O que acontece neste passo?

O sistema determina se um token é autêntico

O sistema verifica quais recursos o usuário pode acessar

http://www.tiexames.com.br//ensino/simulado/simulado_questoes.php?COD_SIMUL... 17/08/2013
Simulados Página 6 de 7

O sistema aloca as autorizações para o usuário

A pessoa ou o sistema apresenta token, chave, usuário ou senha

33 ) Você trabalha em uma instituição financeira e para atender a alguns regulamentos a organização precisa
implementar medidas de segurança fortes para que determinadas ameaças não gerem incidentes. Qual o nome da
estratégia de riscos que será escolhida neste caso?

Evitar os riscos
Aceitar (ou suportar) os riscos
Neutralizar (ou reduzir) os riscos

34 ) Se os documentos e informações usados na empresa passarem por uma classificação apropriada,

estabelecendo o que é secreto, confidencial ou público, o que podemos garantir com isto?

Será mais fácil implantar sistemas de informação para apoiar os processos operacionais da empresa
Os funcionários conseguirão observar o nível de sensibilidade das informações consultando a etiqueta de
classificação utilizada
Relatórios podem ser desenvolvidos mais rápido e com menos erros
Será possível determinar a vida útil de um documento

35 ) Um funcionário cadastra um produto no website da empresa e acidentalmente digita o preço com erro. Como
esta ameaça é classificada?

Ameaça humana intencional

Ameaça humana não intencional
Engenharia social
Ameaça não humana

36 ) Qual a correta distinição entre dados e informação?

Dados são informações estruturadas

Informação é o significado e o valor atribuídos a uma coleção de dados
Dados estão em forma de texto e informação em forma de imagem

37 ) Você observa que na sua empresa os seus colegas costumam esquecer relatórios financeiros na bandeja da
impressora que está no corredor principal. O que pode acontecer se estes relatórios caírem nas mãos de pessoas
erradas?

A integridade da informação não será mais garantida

A disponibilidade da informação não será mais garantida
A confidencialidade da informação não será mais garantida
A autenticidade da informação não será mais garantida

38 ) Quando uma empresa utiliza softwares, o uso de material que possa estar sujeito a direitos de propriedade
intelectual deve ser considerado. Qual das seguintes NÃO é uma orientação válida a ser considerada para proteger
material com propriedade intelectual?

Conscientizar os funcionários sobre a política para proteger direitos de propriedade intelectual

Comprar apenas programas de computador de fornecedores conhecidos para garantir que nenhum direito de
cópia seja infringido
Quando softwares com código aberto (open source) são usados, a licença associada precisa ser respeitada e
observada
Funcionários podem fazer downloads de músicas em MP3 via internet livremente, pois isto não é algo com que
a empresa precisa se preocupar

http://www.tiexames.com.br//ensino/simulado/simulado_questoes.php?COD_SIMUL... 17/08/2013
Simulados Página 7 de 7

39 ) Fazer backups ou cópias de reserva é uma forma de:

Manter a integridade e a disponibildiade da informação

Manter a autenticidade da informação
Manter a confidencialidade da informação

40 ) Qual o nome dado a um pequeno programa de computador que propositadamente se replica, e os resultados
da replicação são cópias dos originais que se espalham para outros sistemas através da rede?

Worm
Spam
Spyware
Trojan

Enviar respostas para correção

usuario: Carlos Weber de Assis 42653

http://www.tiexames.com.br//ensino/simulado/simulado_questoes.php?COD_SIMUL... 17/08/2013