Exercícios até aula 08 Segurança e Auditoria de SI

Gabarito Prof. Paulo Rangel

1. Quanto à segurança da informação, podemos considerá-la como a prática de gestão de

riscos incidentes que impliquem no comprometimento dos conceitos da segurança:
confidencialidade, integridade, disponibilidade, autenticidade e não repudio. Diante disso
avalie as afirmações abaixo:
I. Confidencialidade: Assegurar que a informação é acessível somente por pessoas
autorizadas!
II. Disponibilidade: Assegurar que os autorizados terão acesso a informação e bens
associados sempre que necessários
III. Integridade: visa estabelecer a validade da transmissão, da mensagem e do seu
remetente. O objetivo é que o destinatário possa comprovar a origem e autoria de um
determinado documento.
É correto o que se afirma em:
A. I, apenas;
B. II, apenas;
C. III, apenas;
D. I e II, apenas;
E. I, II e III;

Resposta Comentada: A definição correta para a Integridade é “Salvaguardar a veracidade e

completariedade da informação bem como os seus métodos de processamento!”. A definição
apresentada refere-se a Autenticidade
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

2. Pode-se afirmar que a Segurança da informação, não é uma tecnologia que se pode
comprar e tornar o computador seguro, mas sim que é um Processo, importante para
entre outras coisas, não afetar a credibilidade da organização e nem comprometer
informações sigilosas confiadas por parceiros (cliente, funcionários, fornecedores, etc.).
Diante disso avalie as afirmações abaixo:
I. Pode-se afirmar que uma informação está Computacionalmente Segura, é quando
o custo para quebrar sua proteção é maior que o seu próprio valor!
II. Uma Informação Incondicionalmente Segura é quando o texto cifrado não contém
informações suficientes para se determinar o seu correspondente texto original,
não importando quanto de texto original tenhamos disponível.
III. Podemos afirmar que não repúdio ou Irretratabilidade é o conseito da Segurança a
informação que visa garantir que o autor não negue ter criado e/ou assinado o documento.
É correto o que se afirma em:
A. I, apenas;
B. II, apenas;
C. III, apenas;
D. I e II, apenas;
E. I, II e III;
Resposta Comentada: Todas as afirmações estão corretas.
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

3. O IETF (Internet Engineering Task Force), que é um grupo internacional aberto, composto
de técnicos, agências, fabricantes, fornecedores e pesquisadores, que se ocupa do
desenvolvimento e promoção de standards para Internet, em estreita cooperação com
o 3WC (World Wide Web Consortium) e ISO/IEC em sua RFC 2828 (Request For Comments)
que trata do Internet Security Glossary, definiu os termos Ameaça, Ataque, Ataque Passivo
e Ataque Ativo. Diante disso, avalie as afirmações:
I. Ameaça: Potencial para violação da segurança quando há uma circunstância,
capacidade, ação ou evento que pode quebrar a segurança e causar danos. Ou seja,
uma ameaça é um possível perigo que pode explorar uma vulnerabilidade.
II. Ataque: Um ataque à segurança do sistema, derivado de uma ameaça inteligente, ou seja, um
ato inteligente que é uma tentativa deliberada (especialmente no sentido de um método ou
técnica) de burlar os serviços de segurança e violar a política de segurança de um sistema.
III. Ataque Ativo: Tenta descobrir ou utilizar informações do sistema, mas não afeta seus
recursos.
IV. Ataque Passivo: Tenta alterar os recursos do sistema ou afetar sua operação.
É correto o que se afirma em:
A. I, apenas;
B. II, apenas;
C. III, apenas;
D. I e II, apenas;
E. I, II, III e IV;

Resposta Comentada: As definições de Ataque Ativo e Ataque Passivo estão invertidas.

 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

4. Dentre os diversos tipos de ataques, alguns bens conhecidos para obter o controle de
sistemas computacionais são o Ataque por Dicionário, Ataque de Força Bruta, Porta dos
Fundos (ou Backdoor) e Alçapões (ou Trap door). A partir disso, avalie as afirmações
abaixo:
I. Ataque por Dicionário é um método de ataque onde, de posse do arquivo de
senhas, o cracker utiliza um arquivo que contém diversas palavras, coletadas
previamente e que tem algum significado ou relação com a vítima, que serão
combinadas e tentadas como senha. Este trabalho é feito automaticamente por
ferramentas dedicadas a este tipo de tarefa e pode levar dias dependendo da lista
de senhas do cracker e quantidades de usuários existentes no arquivo de senha.
II. O ataque de Força Bruta é um método de ataque onde, de posse do arquivo de
senhas, o cracker utiliza uma ferramenta que tenta diversas combinações de letras
sequencialmente na tentativa de descobrir uma senha. Este ataque geralmente é
usado como último recurso após um ataque por dicionário, e leva muito tempo
para descobrir uma senha. Dependendo se uma senha conter caracteres aleatórios,
combinação de letras maiúsculas ou minúsculas, números, a senha será
praticamente impossível de ser descoberta.
III. Porta dos Fundos (ou Backdoor): Perpetrado por programador da organização que
insere um código no sistema desviando o processamento de uma rotina de
verificação caso determinada senha de acesso seja inserida, validando-a
independente da senha que constar no banco de dados.
IV. Alçapões (ou trap door): trata de um trecho de código mal-intencionado por onde o
invasor cria uma ou mais falhas de segurança, e assim poder dar acesso a pessoas não
autorizadas a este sistema.

É correto o que se afirma em:

A. I, apenas;
B. II, apenas;
C. III, apenas;
D. I e II, apenas;
E. I, II, III e IV;

Resposta Comentada: As definições dos Ataques Porta dos Fundos e Alçapões estão invertidas.
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

5. (BSIQ33) Tendo em vista que a informação está entre os bens mais importantes para uma
organização, um dos fatores decisivos na definição de uma rede de computadores é a
segurança da informação. Para garantir tal segurança e evitar qualquer desvio ou ação que
possa modificar essas informações sem autorização ou, ainda, para protegê-las de ataques
cibernéticos, são necessários planejamentos e estruturação da rede e de seus acessos.
FONTES, E. Praticando a segurança da informação. Iª ed. São Paulo: BRASPORT, 2008 [adaptado]
Considerando o texto, avalie as informações a seguir:
I. A proteção da informação em uma organização é competência restrita à área de
tecnologia, que assume total responsabilidade sobre sua segurança.
II. A proteção da informação exige postura e comprometimento dos envolvidos na sua
execução, portanto, deve ser tratada de forma profissional.
III. A presença de funcionários éticos na empresa elimina a necesidade de
investimentos na área de segurança da informação.
IV. Os ataques cibernéticos são cada dia mais frequentes, por isso, a segurança da
informação deve ser considerada essencial.
É correto o que se afirma em:
A. II, apenas;
B. I e III, apenas;
C. II e IV, apenas;
D. I, III e IV, apenas;
E. I, II, III e IV;

Resposta Comentada: A afirmação I está incorreta pois a proteção da informação em uma

organização é competência de todos. Quanto a afirmação III, está incorreta pois a presença de
funcionários éticos na empresa contribui muito, mas não elimina a necesidade de
investimentos na área de segurança da informação.
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

6. (BCCQ16) A segurança da informação está diretamente relacionada com a proteção de um

conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo
ou uma organização, tendo como propriedades básicas a confidencialidade, a integridade,
a disponibilidade e a autenticidade.
LYRA, M. R. Segurança e auditoria em sitemas de informação
Rio de Janeiro: Ciência Moderna, 2008 (adaptado)
A engenharia social é definida como o conjunto de técnicas utilizadas para reunir
informações, explorando a tendência humana a ignorar os sistemas de segurança. Os
ataques de engenharia social implicam interação com outros indivíduos, o que evidencia o
aspecto picológico da engenharia social.
MITNICK, K. D.; SIMON, W. L. The art of deception: controlling the human element of security.
New York: Wiley, 2001 (adaptado)
A ética normativa é o “certo” e o “errado” do comportamento social interpretado. A
principal diferença entre essas duas perspectivas é a forma como um dilema moral é
abordado, e não necesáriamente as consequências disso.
Disponível em: http://ethicsmorals.com;
Acesso em 18 Jul 2017 (adaptado)
Em relação à segurança da informação, avalie as afirmações a seguir.
Considerando o texto, avalie as informações a seguir:
I. As empresas sempre estarão vulneráveis, pois o fator humano é o elo mais fraco da
segurança da informação.
II. A segurança da informação não é um produto e, sim, um processo.
III. A ética profissional é um importante fator a ser considerado na segurança da
informação.
É correto o que se afirma em:
A. I, apenas;
B. II, apenas;
C. I e III, apenas;
D. II e III, apenas;
E. I, II e III;

Resposta Comentada: Todas as afirmações são corretas.

 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

7. (GTIQ12) O padrão Internacional ISO/IEC 17799:2005, define práticas para a análise e

elaboração de um projeto para a gestão da segurança da informação. Os conceitos mais
importantes consistem em confiabilidade, integridade, disponibilidade e autenticidade,
entendidas também como práticas essenciais para criar sistemas que evitam perda de
dados e deixam as informações mais seguras. A aplicação dessas práticas garante a drástica
redução dos riscos de uma organização sofrer um ataque.
LYRA, M. R. Segurança e auditoria em sitemas de informação
Rio de Janeiro: Ciência Moderna, 2009 (adaptado)
Com base no texto, avalie as afirmações a seguir.
I. A confidencialidade é a capacidade de um sistema permitir que usuários
autorizados acessem determinadas informações e impedir o acesso a elas aos
demais usuários.
II. A autenticidade e a integridade garantem que a informação esteja correta, seja
verdadeira e não esteja corrompida.
III. A disponibilidade garante quea informação esteja disponível para todos os usuários
que precisarem dela, sempre que necessário.
É correto o que se afirma em:
A. I, apenas;
B. II, apenas;
C. I e III, apenas;
D. II e III, apenas;
E. I, II e III;

Resposta Comentada: Todas as afirmações são corretas.

 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

8. (BSIQ32) A Lei Sarbanes-Oxley (SOX), publicada em agosto de 2002, após escândalos

financeiros acontecidos em companhias americanas abertas nos Estados Unidos, objetiva
proteger os investidores, no mercado de capital americano, de fraudes contábeis e
financeiras. Entre os diversos controles que essa lei regula, destacam-se
aqueles que devem garantir a integridade de informações contábeis e financeiras. Tal crise
despertou a importância da Temática Governança de Tecnologia da Informação (TI) para as
organizações, de modo a serem considerados requisitos legais a troca de informações
entre parceiros estratégicos das organizações e a formalização de uma política de
segurança da informação, entre outros. Desta forma cabe destacar que o objetivo da
Governança de TI em uma organização é alinhar a TI aos requisitos de negócio, de modo a
garantir a continuidade dos serviços prestados, bem como a minimização da exposição do
negócio aos riscos de TI.
FERNANDES, A. A.; ABREU, V. D. Implantando a governança de TI: da estratégia à gestão dos processos e serviços
Rio de Janeiro: Brasport, 2012 (adaptado)
A respeito desse contexto, avalie as afirmações a seguir.
I. O atendimento a marcos de regulação (compliance) implicam, para a área de TI, que
os sistemas de informação transacionais de uma organização, geradores de fatos
contábeis e financeiros, possibiliem o acesso e a emissão de relatórios de
resultados.
II. A segurança da informação deve ser focada prioritariamente na proteção da
infraestrutura de servidores que armazenm as informações transacionais, como
contábeis e financeiras.
III. A integração tecnológica entre filiais de uma organização, ou seja, entre elos de
uma cadeia de distribuição, bem como a gestão de clientes altamente sofisticados,
ou seja, entre elementos que ultrapassam as fronteiras da organização, devem ser
consideradas no momento de se alinhar a TI aos requisitos de negócio.
IV. Em grandes organizações brasileiras e multinacionais, a implementação de “centro
de serviços compartilhados” visa centralizar diversas áreas de negócio, assim como
determinadas operações e/ou serviços de TI.
É correto apenas o que se afirma em:
A. I e II.
B. I e III.
C. II e IV.
D. I, II e IV.
E. II, III e IV.

Resposta Comentada: A afirmação III está incorreta pois limita os clientes apenas aos
altamente sofisticados
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

9. Atualmente todos percebem a necessidade e a importância das políticas de segurança da

informação nas organizações, porem aprendemos em nossos estudos que existem
aspectos essenciais que devem ser claramente compreendidos e percebidos para que a
política de segurança tenha valor e seja cumprida por todos na empresa, do contrário a
organização continuará sob risco. Assim, sobre isso avalie as afirmações a seguir:
I. As políticas e normas devem ser escritas de forma Simples e Compreensíveis, em
texto escrito de maneira clara e concisa, evitando-se o uso de jargões técnicos que
possam soar como incompreensíveis para os colaboradores menos qualificados.

II. Os fatores comuns nas políticas discutidos em sala de aula são os seguintes:
• Especificação da Política
• Declaração da Alta Administração
• Autores / Patrocinadores da Política
• Referências a outras políticas, normas e procedimentos;
• Procedimentos para requisição de exceções à Política
• Procedimentos para mudanças da Política

III. Aspectos a serem percebidos nas políticas são:

• Conceito que as informações são um ativo importante;
• Envolvimento da alta direção em relação à Segurança;
• Responsabilidade formal dos colaboradores;
• Definir padrões para a manutenção da segurança.

É correto o que se afirma em:

A. I, apenas;
B. II, apenas;
C. III, apenas;
D. I e II, apenas;
E. I e III, apenas;

Resposta Comentada:
As afirmações I e II se referem a construção e elaboração da Política de Segurança e não sobre o que
deve compreendido e percebido pelo colaborador da organização, o que ficar retido em sua consciência.
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

10. Como estudamos, as organizações começaram a perceber a importância e o valor das

informações e se motivam para investir na implantação de sistemas de gerenciamento da
segurança da informação, sendo os principais motivadores para isso:
• Legislações e Normas regulatórias Brasileiras;
• Normas e acordos internacionais;
• Conscientização dos empresários e atitude madura dos acionistas;
• Pressão das organizações maiores;
• Movimentos setoriais, como o das empresas de Medicina e Saúde.

Sobre isso podemos afirmar que:

I. Em relação às Legislações e Normas Regulatórias Brasileiras, podemos citar a as

Normas do Banco Central, da Comissão de Valores Mobiliários e a Lei Sarbanes
Oxley como exemplos;
II. Em relação às Normas e Acordos Internacionais podemos exemplificar com os
Acordos da Basiléia e a Lei Sarbanes Oxley;
III. Os empresários e acionistas das empresas percebem que o Sistema de
Gerenciamento da Segurança da Informação é um ativo intangível de proteção de
valor da organização;
IV. As organizações maiores pressionam seus fornecedores para que ofereçam
melhorias na segurança da informação que propiciem reduções de seus custos de
produção e melhorias de qualidade a exemplo do que ocorreu com a ISO9000;
V. Movimentos setoriais, a exemplo das empresas de Medicina e Saúde, buscam
melhores controles que permitam reduzir incidentes de erro médico que possam
dar origem a processos judiciais de seus clientes contra eles.

Está correto o que se afirma em:

A. I, III e IV, apenas;
B. II, III, V, apenas;
C. II e III apenas;
D. I, II, IV, apenas;
E. I e V, apenas.

Resposta Comentada:
A afirmação I está incorreta, pois a Lei Sarbanes Oxley (SOX) é uma Legislação dos EUA;
A afirmação IV está incorreta, pois a Segurança não pode proporcionar redução de custos de produção;
A afirmação V está incorreta, pois o Setor de Medicina e Saúde busca evitar que informações vazem,
estejam indisponíveis ou não integras, além disso, as políticas de segurança não podem evitar que erros
médicos aconteçam.
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

11. Em nossos estudos sobre criptografia aprendemos sobre os algoritmos utilizados que
podem ser classificados como os de chave simétrica e os de chaves assimétricas, em
especiais sobre suas principais diferenças. A partir disso analise as afirmações abaixo.
I. A chave simétrica, também chamada de criptografia de chave secreta ou única,
utiliza uma mesma chave tanto para codificar como para decodificar informações,
sendo usada principalmente para garantir a confidencialidade dos dados, havendo
necessidade de compartilhamento da chave secreta.
II. A chave assimétrica, também conhecida como criptografia de chave pública, utiliza
duas chaves distintas: uma pública, que pode ser livremente divulgada, e uma
privada, que deve ser mantida em segredo por seu dono. Quando uma informação
é codificada com uma chave, somente a outra chave do par pode decodificá-la.
III. O algoritmo de chave simétrica precisa de um canal seguro para transportar a chave
secreta para compartilhá-la com o destinatário da mensagem, enquanto que o
algoritmo de chave assimétrica, isso não é necessário, pois a sua chave pública pode
ser conhecida por qualquer um.
Está correto o que se afirma em:

A. I apenas;
B. II apenas;
C. III apenas;
D. I e II, apenas;
E. I, II e III.

12. Dentro do contexto de Certificado Digital aprendemos os conceitos que envolvem a Lista
de Certificados Rejeitados (LCR), Certificados Autoassinados e Certificados EV SSL, a partir
disso avaliem as afirmações abaixo:
I. O papel da LCR é o de publicar informações sobre certificados que não são mais confiáveis.
Sempre que a AC (autoridade certificadora) descobre ou é informada que um certificado
não é mais confiável, ela o inclui em uma "lista negra", chamada de "Lista de Certificados
Revogados" (LCR) para que os usuários possam tomar conhecimento. A LCR é um arquivo
eletrônico publicado periodicamente pela AC, contendo o número de série dos certificados
que não são mais válidos e a data de revogação.
II. O Certificado autoassinado: é aquele considerado inidôneo, ou seja, falso e que pode
comprometer a segurança do usuário. Estes casos muitas vezes são percebidos pelo
sistema operacional que emite um alerta de certificado invalido para o usuário.
III. Um Certificado EV SSL (Extended Validation Secure Socket Layer), é um certificado emitido
sob um processo mais rigoroso de validação do solicitante. Inclui a verificação de que a
empresa foi legalmente registrada, encontra-se ativa e que detém o registro do domínio
para o qual o certificado será emitido, além de dados adicionais, como o endereço físico.
É correto o que se afirma em:
A. I, apenas;
B. II, apenas;
C. I e III, apenas;
D. II e III, apenas;
E. I, II e III;
Resposta Comentada: O Certificado Autoaasinado é aquele emitido por uma AC para seu uso.
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

13. Aprendemos que a Criptologia é a disciplina científica que reúne e estuda os

conhecimentos (matemáticos, computacionais, psicológicos, etc.) e técnicas necessários a
criptoanálise (solução de criptogramas) e a criptografia (escrita codificada), também
considerada como a ciência e a arte de escrever mensagens em forma cifrada ou em
código, é um dos principais mecanismos de segurança que pode ser usado para a proteção
contra os riscos associados ao uso da Internet. Diante disso e considerando o modelo de
cifra Simétrica, avalie as afirmações abaixo:
I. Os ataques criptoanalíticos, para serem bem-sucedidos devem contar com a
natureza do algoritmo criptográfico, algum conhecimento sobre as características
gerais do texto claro e pares de amostras do texto claro e respectivo texto cifrado;
II. Os ataques de força bruta baseiam-se na tentativa de cada chave possível. Na
média deverá tentar ao menos metade das chaves possíveis antes de obter sucesso.
III. Não existe algoritmo de criptografia incondicionalmente seguro, entretanto, se o
custo para quebrar a cifra for superior ao valor da informação codificada e o tempo
exigido para quebra a cifra seja superior ao tempo de vida útil da informação. Pode-
se afirmar que o seu esquema criptográfico é computacionalmente seguro!
É correto o que se afirma em:
A. I, apenas;
B. II, apenas;
C. I e III, apenas;
D. II e III, apenas;
E. I, II e III;

Resposta Comentada: Todas as afirmações são corretas.

14. A Função de Resumo é um algoritmo que quando aplicado em uma informação,

independente do seu tamanho, gera um resultado único e de tamanho fixo, chamado
HASH. Podem ser citados como exemplos dessa aplicação os algoritmos SHA-1, SHA-256 e
MD5. A partir disso avalie as afirmações abaixo sobre características da Função de Resumo:
I. Serve para verificar a integridade de arquivos;
II. Adotado para gerar assinaturas digitais;
III. Útil para manter o sigilo de senhas gravadas em Bancos de Dados por não permitir o
processamento inverso.
É correto o que se afirma em:
A. I, apenas;
B. II, apenas;
C. I e III, apenas;
D. II e III, apenas;
E. I, II e III;

Resposta Comentada: Todas as afirmações são corretas.

 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

15. A Infraestrutura de Chaves Públicas Brasileira, também conhecida como ICP-Brasil, é o

sistema nacional Brasileiro de certificação digital. Criada pela MP 2.200 de 2001 e
oficializada pelo Decreto 3996 de 2001 e pela Lei 11419 de 2006. Caracteriza-se por uma
estrutura Hierárquica, com a presença de uma Autoridade Certificadora Raiz, o Instituto
Nacional de Tecnologia da Informação (INTI), que tem o papel de credenciar e auditar as
Autoridades Certificadoras pertencentes ao sistema. Diante disse avalie as afirmações
abaixo:
I. O ICP-Brasil é uma estrutura composta por Autoridades Certificadoras (AC) que,
através de técnicas e procedimentos de suporte a um sistema criptográfico
baseando-se em certificados digitais, permite assegurar a identidade de um usuário
de mídia eletrônica ou a autenticidade de um documento suportado ou conservado
em mídia eletrônica;
II. Uma AC emissora não é responsável por publicar informações sobre certificados
que não são mais confiáveis. Sempre que o usuário descobre que um certificado
não é mais confiável, ele deve comunicar ao INTI para incluí-lo em uma "lista
negra", chamada de "Lista de Certificados Revogados" (LCR).
III. As diversas Infraestruturas de ICP existentes no mundo garantem a autenticidade
de assinaturas digitais utilizadas na Internet, possibilitando com alto grau de
segurança, de que um usuário de e-mail, por exemplo, seja realmente o emissor da
mensagem e de que o receptor seja realmente quem ele diz ser.

É correto o que se afirma em:

A. I, apenas;
B. II, apenas;
C. I e III, apenas;
D. II e III, apenas;
E. I, II e III;

Resposta Comentada: Uma AC emissora responsável por publicar informações sobre certificados que
não são mais confiáveis.
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

16. As moedas digitais não são uma ideia nova, desde a década de 1990 discute-se como
implementá-las, porem barrando sempre na necessidade de uma autoridade central,
confiável, para emissão das moedas e impedir o gasto duplo. Porem em 31/10/2008, um
artigo publicado e assinado por Satoshi Nakamoto, apresenta uma moeda digital conhecida
como Bitcoin, que vence essas barreiras utilizando como seu “engine” a tecnologia
Blockchain que pode atender outras aplicações muito além das moedas digitais. A partir
disso, avalie as afirmações abaixo:
I. A tecnologia blockchain se refere a um livro distribuído de registro de transações
agrupadas em blocos organizados em uma cadeia. Os blocos inseridos na cadeia são
imutáveis, pois cada bloco contém um hash de seu conteúdo, que permite verificar
a integridade das suas transações. Além disso, o hash de um bloco depende do
hash do bloco anterior, garantindo sua imutabilidade, já que mudar o hash de
qualquer bloco n - i também mudaria o hash do bloco n.
II. Uma blockchain dispensa uma autoridade central para garantir a validade dos novos
blocos. Para isso, a blockchain completa é distribuída para todos os nós que
participam da rede e através de um algoritmo de consenso a validade dos novos
blocos de transações é verificada pelos nós ativos da rede.
III. Os mineradores são os nós responsáveis por formar blocos e inseri-los na
blockchain. É por eles que a estratégia de consenso acontece, em geral por um
protocolo de incentivo. Em bitcoin, p. ex., são incentivados pela cobrança de taxas
de transação e por uma recompensa pela inclusão do bloco na blockchain. Em geral,
deve existir um incentivo para que construam blocos válidos, o que leva a rede ao
consenso.
É correto o que se afirma em:
A. I, apenas;
B. II, apenas;
C. I e III, apenas;
D. II e III, apenas;
E. I, II e III;

Resposta Comentada: Todas as afirmações são corretas.

 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

17. Em Bitcoin, utiliza-se como algoritmo de consenso o PoW (Proof-of-Work) ou Prova de

Trabalho, nele, o minerador para inserir blocos na cadeia deverá antes resolver um
complexo problema matemático, dispendendo tempo, energia e poder computacional. O
nodo que o solucionar primeiro, será eleito o minerador que incluirá o novo bloco
recebendo uma recompensa por isso. A partir disso avalie as afirmações abaixo:
I. Ainda não existem plataformas de Blockchain que permitem algoritmos de
consenso personalizados, tipo plug and play, para aplicações em que os
participantes são conhecidos, existindo entre eles um determinado nível de
confiança.
II. O consenso pela Prova de trabalho tem contra si o alto consumo de energia e
elevado poder computacional necessários para vencer o desafio matemático que é
exigido.
III. Alternativas ao consenso baseado na Prova de Trabalho, são a Prova de Participação
(do inglês Proof of Stake – PoS), Prova de Importância (do inglês, Proof of Importance
– PoI), e Prova do Tempo Decorrido (do inglês Proof of Elapsed Time – PoET), que
oferecem segurança com menos consumo de energia e de poder computacional.

É correto o que se afirma em:

A. I, apenas;
B. II, apenas;
C. I e III, apenas;
D. II e III, apenas;
E. I, II e III;

Resposta Comentada: Ainda não existem plataformas de Blockchain que permitem algoritmos
de consenso personalizados, tipo plug and play, para aplicações em que os participantes são
conhecidos, existindo entre eles um determinado nível de confiança.
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

18. A auditoria sistemas busca analisar as operações e processos da organização diante de

diretrizes pré-determinadas, sendo um processo de verificação da estrutura da corporação,
realizada por profissionais especializados para isso. A partir disso, avalie as afirmações abaixo:

I. A auditoria de sistemas deve proporcionar a organização a adequação, revisão,

avaliação e recomendações para o aprimoramento dos seus sistemas de informação.
II. A Auditoria de sistemas deve avaliar entre outros, o uso dos recursos humanos,
materiais e tecnológicos envolvidos no processamento dos mesmos.
III. A auditoria de sistemas deve obter evidências que os sistemas de informação suportam
adequadamente os ativos de negócios, mantem a integridade dos dados, alcançam os
objetivos desejados, utilizando eficientemente os recursos e cumprindo as
regulamentações e leis estabelecidas para os negócios da companhia.

É correto o que se afirma em:

A. I, apenas;
B. II, apenas;
C. I e III, apenas;
D. II e III, apenas;
E. I, II e III;

Resposta Comentada: Todas as afirmações são corretas.

 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

19. As auditorias sistemas podem ser classificadas em alguns tipos associados as necessidades da
organização naquele momento. Elas podem ser necessárias durante o desenvolvimento de
sistemas, em Sistemas em Produção, no Ambiente Tecnológico e em eventos específicos.
Diante disso avalie as afirmações abaixo:

I. As auditorias durante o desenvolvimento de sistemas, buscam auditar a construção

desde os requisitos até a implantação, incluindo o desenvolvimento, como, por
exemplo, exigido na ISO 15408.
II. As auditorias de sistemas em produção buscam avaliar os seus resultados, segurança,
correção e tolerância a falhas;
III. As auditorias em ambientes tecnológicos buscas avaliar tão somente o uso de Técnicas
e equipamentos pela organização.
IV. As auditorias associadas a eventos específicos, falhas ou a eventos não cobertos em
auditorias anteriores, busca realizar a análise de causas, consequências e ações
necessárias para ajustes e correções.

É correto apenas o que se afirma em:

A. I e II.
B. I e III.
C. II e IV.
D. I, II e IV.
E. II, III e IV.

Resposta Comentada: A afirmação III está incorreta pois as auditorias em ambientes

tecnológicos buscam avaliar a Estrutura Organizacional, os contratos, as normas, técnicas,
custos, uso de equipamentos e o Plano de Contingência e Segurança.
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

20. Na Metodologia de Auditoria de Sistemas de Informação, é grande a importância da

priorização e seleção dos pontos de controle do SI auditado, diante disso avalie as afirmações
que seguem quanto aos critérios a adotar para isso:

I. O grau de risco do ponto está relacionado aos volumes de prejuízos que podem gerar
no sistema a curto, médio e longo prazo.
II. Em relação a disponibilidade de recursos, devem ser auditado todos os pontos
identificados, uma vez que é interesse da organização auditá-los e assim garantir a sua
segurança.
III. Quanto à existência de ameaças, deve-se priorizar as de maior ameaça.

É correto o que se afirma em:

A. I, apenas;
B. II, apenas;
C. I e III, apenas;
D. II e III, apenas;
E. I, II e III;

Resposta Comentada: A afirmação II está incorreta pois devem ser priorizados os pontos que
podem ser auditados com os recursos disponíveis, já que os recursos não são infinitos.
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

21. Na Metodologia de Auditoria de Sistemas de Informação, a conclusão da Auditoria envolve

entre outras coisas, elaborar um relatório com os resultados, qualquer que seja, refletindo o
diagnóstico dos pontos de controle. A partir disso, avalie as afirmações que seguem:

I. As fraquezas devem ser classificadas como pontos de auditoria e devem ser apontadas
recomendações para sua solução ou mitigação.
II. Cada ponto de auditoria deve sofrer revisão e avaliação periódica pelos analistas e
usuários responsáveis.
III. Não existe a necessidade de um follow-up posterior pela equipe de auditoria pois a
revisão e avaliação periódica pelos analistas e usuários responsáveis garantirá que as
recomendações sejam executas e assim as fraquezas sejam eliminadas ou mitigadas em
um nível aceitável pela organização.

É correto o que se afirma em:

A. I, apenas;
B. II, apenas;
C. I e II, apenas;
D. II e III, apenas;
E. I, II e III;

Resposta Comentada: A afirmação III está incorreta pois o (follow-up) acompanhamento da

auditoria deve ser realizado até que todas as recomendações tenham sido executadas e as
fraquezas eliminadas ou mitigadas em um nível aceitável pela organização.
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

22. As Ferramentas de Auditoria em SI´s são importantes aliados para a extração, classificação e
seleção de dados e transações a serem validadas, apoiando na evidenciação de discrepâncias e
desvios nos Si´s. Estas ferramentas podem ser categorizadas em: Ferramentas Generalistas de
auditoria de Tecnologia da Informação, Ferramentas Especializadas de auditoria e Programas
utilitários em geral. A partir disso avalie as afirmações que seguem:

I. As Ferramentas generalistas de auditoria de Tecnologia da Informação são softwares

que podem processar, simular, analisar amostras, gerar estatísticas, sumarizar, apontar
duplicidades e outras funções necessárias ao auditor, com características que reduzem
a dependência do auditor em relação ao pessoal de TI.
II. Os Programas utilitários em geral são desenvolvidos especificamente para executarem
tarefas em circunstâncias definidas. Desenvolvidos pelo auditor, por especialista da
empresa ou por terceiro contratado para isso. Feitas sob medida, tem contra si, o custo
do seu desenvolvimento e o processo de atualização da ferramenta ao longo do tempo.
III. As Ferramentas especializadas de auditoria são Softwares utilitários de uso geral para
classificar arquivos, concatenar textos, sumarizar, gerar relatórios. Por serem de uso
geral, não possuem recursos necessários a auditoria como p.e.: verificação de totais de
controle ou gravação de trilhas de auditoria, exigindo o apoio do usuário e de TI, mas é
uma solução alternativa na falta de um recurso mais específico.

É correto o que se afirma em:

A. I, apenas;
B. II, apenas;
C. I e II, apenas;
D. II e III, apenas;
E. I, II e III;

Resposta Comentada: As afirmações II e III estão incorretas pois as definições de Programas

utilitários em geral e Ferramentas especializadas de auditoria estão invertidas.
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

23. Como exemplos de Metodologias ou Técnicas de Auditoria de SI podemos considerar as

seguintes: Simulação Paralela, Análise da Lógica de Programação e Facilidades de Testes
Integrados. A partir disso avalie as afirmações que seguem:

I. A metodologia de Simulação Paralela envolve o uso de programa especialmente

desenvolvido que comprovadamente, atenda a todas as lógicas necessárias para o
teste, simulando as funcionalidades do programa em produção a partir das suas
entradas. Tem como vantagens: Testes no local, não existem custos na preparação da
massa de testes, processa todos os dados, porém como desvantagens tem a execução
da simulação com o total de dados, assim, não existe análise específica e exige
conhecimento e experiência do auditor sobre aquele tipo de sistema.
II. A Análise da Lógica de Programação busca a validação da lógica de programação para
garantir que as instruções dadas ao computador são as mesmas já identificadas nas
documentações dos sistemas. Ela pode ser realizada manualmente nos sistemas principais
ou mais críticos para o negócio, ou pode ser realizada por programas / ferramentas
automatizadas.
III. A Metodologia Facilidades de testes integrados, também conhecida como Integrated
Test Facility, é realizada em ambientes online e real time, quando os dados de testes
são introduzidos no ambiente de produção, assim, envolve, p.e., a introdução de
funcionários fictícios na folha de pagamento ou de clientes fictícios no contas a receber.
Os dados do processamento são confrontados com os dados fictícios e os resultados
esperados. Como vantagem nota-se que não implica em custo adicional ou ambiente
de testes exclusivo, porém os efeitos das transações fictícias devem ser estornados,
causando trabalho extra e existe o risco de contaminar dados reais de produção.

É correto o que se afirma em:

A. I, apenas;
B. II, apenas;
C. I e II, apenas;
D. II e III, apenas;
E. I, II e III;

Resposta Comentada: Todas as afirmações são corretas.

 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

24. Sobre as melhores práticas para a Auditoria de Sistemas de Informação, nota-se a ausência de
um padrão único, mas que diversas organizações, como a Associação de Controle e Auditoria
de TI (EUA) e a ISACA Associação de Auditores de Sistemas e Controle, propõem modelos
assemelhados, destacando-se as questões sobre sigilo, competência técnica, objetividade,
diligência e zelo profissional. Considerando isso, avalie as afirmações que seguem:

I. O Auditor deve servir aos interesses dos stakeholders de forma legal e honesta, atentando
para a manutenção do alto padrão de conduta e caráter profissional, e não encorajar atos de
descrédito profissional
II. O Auditor deve manter privacidade e confidencialidade das informações obtidas no
decurso de suas funções, exceto quando exigido legalmente. Tais informações não
devem ser utilizadas em vantagem própria ou entregue a pessoas desautorizadas
III. O Auditor deve informar as partes envolvidas sobre os resultados de seus trabalhos,
expondo todos os fatos significativos que tiver em seu alcance;

É correto o que se afirma em:

A. I, apenas;
B. II, apenas;
C. I e II, apenas;
D. I e III, apenas;
E. I, II e III;

Resposta Comentada: Todas as afirmações são corretas.

25. É grande a importância do registro de marcas e patentes nos negócios de tecnologia, o que é
regulado na Lei 9.279 de 15/05/1996 – Lei de Propriedade Industrial, que afirma no seu artigo
122 que: São suscetíveis de registro como marca os sinais distintivos visualmente perceptíveis,
não compreendidos nas proibições legais. Estabelecendo no seu artigo 124 quais os sinais que
não podem ser registrados, sendo o órgão responsável pelo registro de marcas e Patentes no
Brasil o INPI – Instituto Nacional de Propriedade Industrial. A partir disso, avalie as afirmações
abaixo considerando os conceitos legais sobre o registro de marcas e patentes:
I.
Por definição legal, toda marca tem que ter uma forma visual, devendo ser distinta e
diferente, obedecendo os sinais que não podem ser registrados conforme previsto na lei,
não podendo também envolver marcas sonoras ou olfativas.
II. A cobertura territorial de proteção de marca registrada no INPI, limita-se ao território
brasileiro, devendo ser registrada em outros países caso pretenda-se atuar com a marca no
exterior.
III. Programas de computador não podem ser patenteados, mas podem ser protegidos por
registro no INPI.
Assim podemos afirmar que são corretas as alternativas:

a) I apenas;
b) II apenas;
c) III, apenas;
d) I e II apenas;
e) I, II e III.
Resposta Comentada: Todas as afirmações estão corretas
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

26. No exterior existem diversas legislações que tratam a proteção de dados, podem ser citadas a
HIPPA - Health insurance portability and accountability act of 1996, HITECH - Health
Information Technology for Economic and Clinical Health Act e CCPA - California Consumer
Privacy Act of 2018 nos EUA e a General Data Protection Regulation (GDPR) na União Européia.
No Brasil também temos uma legislação específica para proteção de dados, a Lei Geral de
Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, que estabelece os 10 princípios para o
tratamento de dados, entre esses princípios podemos citar a Finalidade, Adequação e
Necessidade. A partir disso, avalie as afirmações abaixo considerando os 10 princípios para o
tratamento de dados previstos na LGPD:
I.
O Princípio da Finalidade estabelece que para o tratamento de dados pessoais por uma
organização, devem existir propósitos legítimos, específicos, explícitos e informados aos
interessados;
II. O Princípio da Necessidade estabelece que o tratamento dos dados pessoais deve ser
compatível com as finalidades informadas aos interessados;
III. O Princípio da Adequação, estabelece que a utilização, deve ser apenas e tão somente, dos
dados estritamente necessários as finalidades informadas.
Assim podemos afirmar que são corretas as alternativas:

a) I apenas;
b) II apenas;
c) III, apenas;
d) I e II apenas;
e) I, II e III.
Resposta Comentada: As afirmações II e III estão incorretas pois a Definição do Princípio de
Necessidade e a Definição do Princípio de Adequação estão invertidas

27. A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, estabelece os 10
princípios para o tratamento de dados, como a Necessidade, Adequação e a Finalidade,
determina as base legais que permitem o tratamento de dados pessoais pelas organizações,
como por exemplo, ter o consentimento do titular do dados, dar cumprimento a obrigação
legal, a Proteção a Vida e Tutela de Saúde, entre outros. Por outro lado, também estabelece
Direitos dos Titulares dos Dados Pessoais na LGPD. A partir disso, avalie as afirmações abaixo
considerando os Direitos do Titulares na LGPD:
I. Não Devem ser informados com quais entidades o controlador realizou uso compartilhado
de dados;
II. O Controlador deve proporcionar a Portabilidade dos dados a outro fornecedor de serviço
ou produto;
III. Anonimização, bloqueio ou eliminação de dados desnecessário, excessivos ou tratados
ilicitamente;

Assim podemos afirmar que são corretas as alternativas:

a) I apenas;
b) II apenas;
c) III, apenas;
d) II e III apenas;
e) I, II e III.
Resposta Comentada: A afirmação I está incorreta, pois devem sim, ser informados com quais
entidades o controlador realizou uso compartilhado de dados
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

28. As principais questões e preocupações no mundo tecnológico em que bilhões de pessoas e

empresas estão conectadas são a análise de riscos na segurança da informação, a gestão de
vulnerabilidades e a proteção de dados. Apenas com ataques de ransomware, o Relatório
Cyber Incident & Breach Treds Report da Online Trust Alliance (OTA), estima perdas na ordem
de US$ 8 Bilhões no ano de 2018. Diante disso, a Análise Riscos, que pode ser definida como o
processo que busca identificar falhas e vulnerabilidades que podem comprometer os dados e
informações das empresas, estabelece objetivos claros para essa análise. A partir disso, avalie
as afirmações abaixo considerando os objetivos da Análise de Riscos:
I.Identificar e mitigar ameaças em potencial à segurança de TI e a probabilidade de que se
concretizem;
II. Identificar o valor dos recursos e estruturas, inclusive o seu valor indireto, caso sejam
danificados ou violados;
III. Aplicar técnicas de investigação científica a crimes e ataques realizados no mundo digital. É
um aspecto crucial do direito e dos negócios na era da Internet;
Assim podemos afirmar que são corretas as alternativas:

a) I apenas;
b) II apenas;
c) III, apenas;
d) I e II apenas;
e) I, II e III.

Resposta Comentada: A afirmação III está incorreta, pois esta definição é para a Análise
Forense Digital, não sendo um dos objetivos da análise de risco, que busca evitar os crimes e
ataques digitais e não os analisar depois de sua ocorrência;

29. Nos estudos que realizamos em aula identificamos que cada organização pode ter níveis de
riscos diferentes em relação a outras empresas, mesmo quando ambas atuam no mesmo
mercado. Sobre isso, avalie as seguintes afirmações:
I. As organizações podem ter níveis de riscos diferentes em razão de características
influenciadas pelo seu ambiente interno e pelo ambiente externo no qual está inserida.
Estas variáveis podem ser classificadas em variáveis internas e variáveis externas;
II. As variáveis internas são compostas por variáveis humanas, físicas e tecnológicas;
III. As variáveis externas são compostas por variáveis macroeconômicas, mercadológicas e
tecnológicas.
Assim podemos afirmar que são corretas as alternativas:

a) I, apenas;
b) II, apenas;
c) III, apenas;
d) I e II, apenas;
e) I, II e III.

Resposta Comentada: A afirmação III está incorreta, pois as variáveis externas são compostas por
Macroeconômicas, Mercadológicas e Naturais.
 Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel

30. Estudamos a questão do ciclo de vida da informação, que é caracterizado pelos momentos
vividos pela Informação que a colocam em risco e que podem alterar as suas propriedades de
Confidencialidade, Integridade e Disponibilidade. Esses momentos podem ser divididos em:
Manuseio, Armazenamento, Transporte e Descarte. Sobre isso, avalie as seguintes afirmações:
I. O Manuseio é o momento em que a informação é apenas manipulada, com atenção
especial em relação ao acesso e o processamento correto e exato da informação;
II. O Transporte é o momento quando a informação é transportada, por exemplo, por
correio eletrônico ou outra aplicação, através de uma rede para ser consultada em uma
estação, com atenção especial em garantir a sua confidencialidade através do uso de
criptografia entre a origem e o destino;
III. O Descarte é quando a informação é descartada; com atenção especial em garantir a
sua preservação para histórico através de cópias de segurança criptografadas;
Assim podemos afirmar que são corretas as alternativas:

a. I, apenas;
b. II, apenas;
c. III, apenas;
d. I e II, apenas;
e. I, II e III;
Resposta Comentada:
A opção I está incorreta pois no Manuseio a informação é criada e manipulada;
A opção III está incorreta pois no momento de Descarte não faz sentido falar em cópias de
segurança; Logo, APENAS a alternativa II está correta.

31. Estudamos que a Engenharia Social refere-se a um conjunto de práticas usadas para que o
atacante tenha acessos a informações importantes explorando a confiança das pessoas, não se
tratando de um ataque técnico, já que não requer conhecimentos de tecnologia, mas sim,
habilidades interpessoais para ganhar a confiança das pessoas valendo-se de diversas técnicas
para alcançar esse objetivo. Partindo disso, avalie as seguintes afirmações:

I. O Engenheiro Social é alguém que usa a fraude, a influência e a persuasão contra as

empresas, em geral visando suas informações;
II. O Engenheiro Social é o agente que pode quebrar todo o aparato de segurança
baseado em tecnologias, sejam de software ou de hardware.
III. O Engenheiro Social, é aquele que busca informações sobre suas vítimas em potencial
para a partir delas criar bancos de dados e elaborar programas e rotinas
computacionais para ataques de dicionário de dados;
Assim podemos afirmar que são corretas as alternativas:

a. I, apenas;
b. II, apenas;
c. III, apenas;
d. I e II, apenas;
e. I, II e III;
Resposta Comentada: A opção III está incorreta pois a Engenharia Social e o seu principal agente, o
Engenheiro Social, não realizam ataques tecnológicos;