1. O papel estratégico dos sistemas de informação nas empresas cresce a cada dia.

Qual das opções abaixo não pode ser considerada como sendo um dos "Propósitos
da Informação" dentro das empresas e organizações?

Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos;

Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos
equipamentos;
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos
recursos materiais;
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos
recursos financeiros;
Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua
tecnologia;

2. Em relação as afirmações abaixo, assinale a opção que contenha apenas as

corretas:

I-A informação de uma empresa na maioria das vezes pode ser pública, para que
prejudique o funcionamento, integridade, estratégias e tomadas de decisões da
empresa.

II-A informação torna-se um dos ativos mais importantes e valiosos dentro de

uma organização, pois são cruciais para a eficácia das estratégias de uma
empresa.

III-A informação é primordial para realizar com eficácia todos os processos de

uma empresa, sendo assim um elemento que pode conduzir a empresa ao sucesso
ou ao fracasso caso essas informações não estejam corretas

Somente III
Somente I
Somente I e III
Somente II e III
I, II e III

Explicação:
 O certo seria:

A informação de uma empresa na maioria das vezes não pode ser pública, para
que não prejudique o funcionamento, integridade, estratégias e tomadas de
decisões da empresa.

3. Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem

também muitos desafios de negócios e gerenciais no desenvolvimento e
implementação de novos usos da tecnologia da informação em uma empresa.
Neste contexto qual o objetivo fundamental da ¿Segurança da Informação¿?

Visa principalmente à proteção dos ativos patrimoniais que contêm

informações.
Visa à proteção de todos os ativos de uma empresa que contêm
informações.
Visa à proteção, com o foco na internet da empresa, dos ativos que contêm
informações.
Visam à proteção alguns poucos ativos de uma empresa que contêm
informações.
Visa à proteção dos equipamentos de uma empresa que contêm
informações.

4. O tamanho do prejuízo, medido através de propriedades mensuráveis ou

abstratas, que a concretização de uma determinada ameaça causará está
relacionado com qual conceito de?

Ameaça.
Impacto.
Vulnerabilidade.
Risco.
Valor.
5. Em relação as afirmações abaixo, assinale a opção que contenha apenas as
corretas:

I-Segurança da informação é o conjunto de orientações, normas, procedimentos,

políticas e demais ações que tem por objetivo proteger o recurso informação,
possibilitando que o negócio da organização seja realizado e a sua missão seja
alcançada.

II-A segurança da informação não minimiza os riscos da organização em relação à

dependência do uso dos recursos de informação para o funcionamento da mesma.

III-Nos dias atuais é importante que a segurança da informação tenha como

objetivo propor soluções técnicas que visem melhorias na política de segurança
das informação das empresas.

Somente II e III
Somente I
Todas estão erradas
Somente I e II
Somente I e III

Explicação:

O certo seria:

A segurança da informação tem a função de minimizar os riscos da organização

em relação à dependência do uso dos recursos de informação para o
funcionamento da mesma.

6. Todo tipo de complemento da tarefa dentro de uma corporação requer

informação. A comunicação é requerida para assegurar que estas informações
provêm para a pessoa responsável pela tarefa.

Sendo a informação o elemento fundamental para todos os processos de negócio

da organização, leia as asserções abaixo e, a seguir, assinale a alternativa
correta:

I. A informação é um bem ou ativo de grande valor, podendo levar a organização

do sucesso ao fracasso, em função de impactos financeiros, operacionais ou de
imagem, ocasionados por falhas, erros ou fraudes no uso da informação;
 II. A informação passou a ser um recurso estratégico para as organizações,
possibilitando a geração de conhecimento e apoiando o processo de tomada de
decisões. Em virtude disto, o grau de proteção e preocupação com estas
informações diminuiu consideravelmente;

III. As informações trafegadas intermitentemente pela organização caracterizam-

se por serem um dos seus ativos mais valiosos.

Somente a asserção III está correta

Somente as asserções I e III estão corretas
Somente as asserções II e III estão corretas
Somente a asserção II está correta
Somente as asserções I e II estão corretas

Explicação:

I. A informação é um bem ou ativo de grande valor, podendo levar a organização

do sucesso ao fracasso, em função de impactos financeiros, operacionais ou de
imagem, ocasionados por falhas, erros ou fraudes no uso da informação;

II. A informação passou a ser um recurso estratégico para as organizações,

possibilitando a geração de conhecimento e apoiando o processo de tomada de
decisões. Em virtude disto, o grau de proteção e preocupação com estas
informações aumentou consideravelmente;

III. As informações trafegadas intermitentemente pela organização caracterizam-

se por serem um dos seus ativos mais valiosos.

7. Tendo em vista a mudança de paradigma no modo como as empresas e as

pessoas trabalham e a forma como a tecnologia da informação apóia as operações
e processos das empresas, qual das opções abaixo poderá ser escolhida como
sendo aquela que possui os elementos fortemente responsáveis por este
processo?

O uso da internet para sites de relacionamento;

O Aumento no consumo de softwares licenciados;
O crescimento explosivo da venda de computadores e sistemas livres;
O crescimento explosivo da internet e das suas respectivas tecnologias e
aplicações;
 O crescimento explosivo dos cursos relacionados com a tecnologia da
informação;

8. No contexto da segurança da informação as proteções são medidas que visam livrar os ativos de
situações que possam trazer prejuízos. Neste contexto elas podem ser:

1) Físicas
2) Lógicas
3) Administrativas

Analise as questões abaixo e relacione o tipo corretamente:

( ) Procedimento

( ) Fechadura

( ) Firewall

( ) Cadeado

( ) Normas

3, 2, 1, 2, 3
1, 3, 1, 3, 2
2, 1, 2, 1, 3
3, 1, 2, 1, 3
2, 2, 1, 3, 1

1. O valor da informação para as empresas é considerado, na atualidade, como algo

imensurável. Nos últimos anos, a demanda gradual por armazenamento de
conhecimento tem levado à necessidade de administração desses dados de forma
confiável. Neste contexto qual das opções abaixo poderá definir melhor o conceito
de ¿Dado¿?

Elemento identificado em sua forma trabalhada que por si só não conduz a

uma compreensão de determinado fato ou situação
Elemento identificado em sua forma bruta e que por si só não conduz a uma
compreensão de determinado fato ou situação.
 Elemento não identificado e que por si só não conduz a uma compreensão
de determinado fato ou situação.
Elemento identificado em sua forma trabalhada e que por si só conduz a
várias compreensões de fatos e situações.
Elemento identificado em sua forma bruta e que por si só conduz a varias
compreensões de fatos ou situações.

Gabarito
Comentado

2. Sobre o conceito: " [...] é restrita aos limites da empresa e cuja divulgação ou
perda pode acarretar em desiquilíbrio operacional e, eventualmente, a perdas
financeiras ou de confiabilidade perante o cliente externo". Tal conceituação
refere-se a qual tipo de informação, no que tange ao nível de prioridade da
mesma, segundo Wadlow (2000)?

Nenhuma das alternativas anteriores

Informação Pública
Informação Interna
Informação secreta
Informação confidencial

3. Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela

necessidade de confidencialidade quanto pela de disponibilidade¿. Esta afirmação
é:

falsa, pois não existe alteração de nível de segurança de informação.

verdadeira se considerarmos que o nível não deve ser mudado.
falsa, pois a informação não deve ser avaliada pela sua disponibilidade.
verdadeira, pois a classificação da informação pode ser sempre reavaliada.
verdadeira desde que seja considerada que todas as informações são
publicas.
4. Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se
concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema,
reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar
efeitos adversos na organização são consideradas:

Medidas Preventivas
Medidas Corretivas e Reativas
Métodos Detectivos
Medidas Perceptivas
Métodos Quantitativos

5. Valores são o conjunto de características de uma determinada pessoa ou

organização, que determinam a forma como a pessoa ou organização se
comportam e interagem com outros indivíduos e com o meio ambiente. A
informação terá valor econômico para uma organização se ela gerar lucros ou se
for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou
nenhum valor. Qual a melhor definição para o valor de uso de uma informação:

Reflete o custo substitutivo de um bem.

Surge no caso de informação secreta ou de interesse comercial, quando o
uso fica restrito a apenas algumas pessoas.
Baseia-se na utilização final que se fará com a informação.
É o quanto o usuário está disposto a pagar, conforme as leis de mercado
(oferta e demanda).
Utiliza-se das propriedades inseridas nos dados.

6. Considere um sistema no qual existe um conjunto de informações disponível para

um determinado grupo de usuários denominados ¿auditores¿. Após várias
consultas com respostas corretas e imediatas, em um determinado momento, um
usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma
informação já acessada anteriormente e não consegue mais acessá-la. Neste caso
houve uma falha na segurança da informação para este sistema na propriedade
relacionada à:

Integridade;
 Confidencialidade;
Disponibilidade;
Não-repúdio;
Privacidade;

7. Você está trabalhando em um projeto de classificação de informação e sua

empresa trabalho no ramo financeiro, onde a divulgação de determinadas
informações pode causar danos financeiros ou à imagem da sua empresa, além de
gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste
caso você classificaria estas informações em qual nível de segurança?

Secreta.
Confidencial.
Pública.
Interna.
Irrestrito.

8. A assinatura digital permite comprovar a autenticidade e ______________ de

uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto
e que ela não foi alterada.

a confidencialidade
a legalidade
o não-repúdio
a integridade
a disponibilidade

1. A Turner Broadcasting System (TBS), uma divisão da Time Warner que gerencia
canais como CNN e Cartoon Network, revelou que sua rede foi infiltrada e atacada
pelo worm Rinbot. O Rinbot conseguiu entrar na segurança da informação da TBS
 usando uma falha no antivírus da Symantec. A vulnerabilidade foi corrigida. O
Rinbot, também chamado de Delbot pela Sophos, é um vírus semelhante ao
Spybot, Agobot e outros. Ele forma uma rede zumbi com os computadores
infectados, permitindo que seu criador obtenha controle total do sistema
infectado. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso?

Vulnerabilidade Natural.
Vulnerabilidade Física.
Vulnerabilidade de Comunicação.
Vulnerabilidade de Software.
Vulnerabilidade de Mídias.

Gabarito
Comentado

2. Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém

fortemente articulado pelas redes, onde a informação, independente do seu
formato. Uma vez identificados quais os riscos que as informações estão expostas
deve-se imediatamente iniciar um processo de segurança física e lógica, com o
intuito de alcançar um nível aceitável de segurança. Quando falo em nível
aceitável de segurança, me refiro ao ponto em que todas as informações devam
estar guardadas de forma segura. Neste contexto como podemos definir o que são
vulnerabilidades:

Método de ataque, onde alguém faz uso da persuasão, muitas vezes

abusando da ingenuidade ou confiança do usuário, para obter informações
que podem ser utilizadas para ter acesso não autorizado a computadores ou
informações.
São decorrentes de fenômenos da natureza, como incêndios naturais,
enchentes, terremotos, tempestades eletromagnéticas, maremotos,
aquecimento, poluição, etc.
Ameaças propositais causadas por agentes humanos como hackers,
invasores, espiões, ladrões, criadores e disseminadores de vírus de
computadores, incendiários.
É um tipo de ameaça que se aproveita de falhas em sistemas que interagem
com bases de dados através da utilização de SQL.
Pontos fracos em que os ativos estão suscetíveis a ataques - fatores
negativos internos. Permitem o aparecimento de ameaças potenciais à
continuidade dos negócios das organizações.
3. As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer
overflow, que muitas vezes pode dar privilégios de administrador para o invasor,
rodar códigos maliciosos remotamente, burlar particularidades de cada sistema,
ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação
a Classificação das Vulnerabilidades podemos citar como exemploS de
Vulnerabilidade de Hardware:

Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou

erros durante a instalação.
Instalações prediais fora dos padrões de engenharia ou salas de servidores
mal planejadas.
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas
ou erro de fabricação.
Possibilidade de desastres naturais (incêndios, enchentes, terremotos,
tempestades, falta de energia).
Acessos não autorizados ou perda de comunicação ou a ausência de
sistemas de criptografia nas comunicações.

Gabarito
Comentado

4. As ________________________ por si só não provocam acidentes, pois são

elementos __________, para que ocorra um incidente de segurança é necessário
um agente causador ou uma condição favorável que são as
___________________.

Ameaças, ativos, vulnerabilidades

Vulnerabilidades, ativos, ameaças
Ameaças, passivos, vulnerabilidades
Ameaças, essenciais, vulnerabilidades
Vulnerabilidades, passivos, ameaças

Gabarito
Comentado

5. Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site
posteriormente ficou fora do ar, antes foi deixada uma mensagem informando :
"Este mês, o governo vivenciará o maior número de ataques de natureza virtual
na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este
 site mas para varias instituições governamentais, acredita-se que foram utilizados
mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco
de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo
aos dados internos e criticos que não devem ser divulgados. Qual você acha que
foi a vulnerabilidade para este ataque?

Vulnerabilidade Física
Vulnerabilidade Software
Vulnerabilidade Natural
Vulnerabilidade Comunicação
Vulnerabilidade Mídias

Gabarito
Comentado

6. Analise o trecho abaixo:

"Além da falta de água nas torneiras, a crise hídrica começa agora a afetar
também a distribuição de energia elétrica no país. Cidades de ao menos sete
unidades federativas do Brasil e no Distrito Federal registraram cortes severos, na
tarde desta segunda-feira." Jornal O DIA, em 19/01/2015.

Neste caso as empresas de Tecnologia que estão localizadas no município

apresentam a vulnerabilidade do tipo:

Mídia
Hardware
Física
Natural
Comunicação

Gabarito
Comentado

7. O processo de identificar as proteções existentes e ausentes, identificar falhas nas

existentes e levantar dados que possam prever a efetividade desse conjunto de
proteções pode ser descrito em qual das opções abaixo?
 Ameaça
Análise de Vulnerabilidade
Ativo
Analise de Incidente
Analise de Escopo

Gabarito
Comentado

8. Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em

São Paulo. Nesse ataque os hackers direcionavam os usuários que acessavam o
site do banco Bradesco para uma página falsa e roubavam os dados e as senhas
destes usuários. O site teve um problema nos servidores de DNS, que traduziram
o endereço do Bradesco como sendo de outro servidor, no qual havia uma página
falsa e eles puderam roubar os dados e as senhas. Qual você acha que seria a
vulnerabilidade neste ataque?

Vulnerabilidade de Comunicação
Vulnerabilidade Física
Vulnerabilidade Natural
Vulnerabilidade Mídia
Vulnerabilidade de Software

1. Qual tipo de ataque envolve alguma modificação do fluxo de

dados ou a criação de um fluxo falso?

Forte
Ativo
Passivo
Secreto
Fraco

Gabarito
Comentado
2. Pedro construiu um software malicioso capaz de capturar e armazenar as teclas
digitadas pelo usuário no teclado do computador. Neste caso podemos afirmar que
Pedro construiu um:

Worm
Trojan
Backdoor
Screenlogger
Keylogger

Gabarito
Comentado

3. A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual

de hackers mas na verdade estas pessoas tem amplo conhecimento de
programação e noções de rede e internet, não desenvolvem vulnerabilidades e
não tem intenção de roubar informações, estes na verdade são os crackers que
invadem sistemas em rede ou computadores para obter vantagens muitas vezes
financeiras. Verifique nas sentenças abaixo as que estão corretas em relação a
descrição dos potenciais atacantes: I - Wannabes ou script kiddies São aqueles
que acham que sabem, dizem para todos que sabem, se anunciam, divulgam
abertamente suas façanhas e usam 99% dos casos de scripts conhecidos. II-
Defacers Pessoa que Interferem com o curso normal das centrais telefônicas,
realizam chamadas sem ser detectados ou realizam chamadas sem tarifação. III-
Pheakres São organizados em grupo, usam seus conhecimentos para invadir
servidores que possuam páginas web e modificá-las.

Apenas a sentença I está correta.

As sentenças II e III estão corretas.
As sentenças I e III estão corretas.
As sentenças I e II estão corretas.
Todas as sentenças estão corretas.

Gabarito
Comentado
4. As ameaças propositais causadas por agentes humanos como hackers, invasores,
espiões, ladrões e etc. poderão ser classificadas como:

Insconsequentes
Tecnológicas.
Globalizadas
Destrutivas
Voluntárias

Gabarito
Comentado

5. Desde o aparecimento do primeiro spam, em 1994, a prática de enviar e-mails

não solicitados tem sido aplicada com vários objetivos distintos e também
utilizando diferentes aplicativos e meios de propagação na rede. Os tipos de spam
identificados até o momento são: correntes, boatos, lendas urbanas, propagandas,
ameaças, pornografia, códigos maliciosos, fraudes e golpes.

É muito importante que se saiba como identificar os spams, para poder detectá-
los mais facilmente e agir adequadamente. Dentre as afirmativas abaixo marque
aquelas que podemos assinalar como sendo as principais características dos
spams:

I. Apresentam cabeçalho suspeito.

II. Apresentam no campo Assunto palavras com grafia errada ou suspeita.
III. Apresentam no campo Assunto textos alarmantes ou vagos.
IV. Oferecem opção de remoção da lista de divulgação.
V. Prometem que serão enviados "uma única vez.
VI. Baseiam-se em leis e regulamentações inexistentes.

Estão corretas:

Todas as afirmativas estão corretas

I, III e V
Nenhuma afirmativa está correta
II, IV e VI
I, II, III, V e VI

Gabarito
Comentado
6. Qual dos exemplos abaixo não pode ser considerado como sendo claramente um
código malicioso ou Malware ?

active-x
worm
keyloggers
trojan horse
rootkit

7. Os ataques a computadores são ações praticadas por softwares projetados com

intenções danosas. As consequências são bastante variadas, algumas têm como
instrução infectar ou invadir computadores alheios para, em seguida, danificar
seus componentes de hardware ou software, através da exclusão de arquivos,
alterando o funcionamento da máquina ou até mesmo deixando o computador
vulnerável a outros tipos de ataques. Em relação a classificação das ameaças
podemos definir como ameaças involuntárias:

Ameaças propositais causadas por agentes humanos como crackers,

invasores, espiões, ladrões e etc.
Erros propositais de instalação ou de configuração possibilitando acessos
indevidos.
Ameaças decorrentes de fenômenos da natureza, como incêndios naturais,
enchentes, terremotos e etc.
Acessos não autorizados ou perda de comunicação ou a ausência de
sistemas de criptografia nas comunicações.
Danos quase sempre internos - são uma das maiores ameaças ao ambiente,
podem ser ocasionados por falha no treinamento, acidentes, erros ou
omissões.

8. Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a

correta correspondência com seus significados dispostos na Coluna II .

Coluna I

1. Spyware
2. Adware
 3. Engenharia Social
4. Backdoor
5. Phishing

Coluna II

( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página
clonada ou a um arquivo malicioso.
( ) Software que insere propagandas em outros programas.
( ) Brecha inserida pelo próprio programador de um sistema para uma invasão.
( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança.
( ) Programa espião.

A sequencia correta é:

3, 1, 5, 2, 4.
5,1,4,3,2.
3, 2, 4, 5, 1.
5, 2, 4, 3, 1.
3, 1, 4, 5, 2.

1. Ataques a sistemas de computação são tipos de crimes virtuais que visam, entre
outras coisas, obter informações que se encontram em sistemas alheios. Crimes
dos quais todos os internautas e empresas correm o risco de sofrer, mas que nem
sempre sabem exatamente o que são, como agem e quais danos podem vir a
causar aos computadores e sistemas. Qual dos itens abaixo "não" pertence ao
ciclo de um ataque:

Exploração das informações.

Camuflagem das evidências.
Quebra de sigilo bancário.
Obtenção do acesso.
Levantamento das informações.

Gabarito
Comentado
2. Um dos principais tipos de ataques à Segurança das informações funciona da
seguinte forma: O ataque explora a metodologia de estabelecimento de conexões
do protocoloTCP, baseado no three-way-handshake. Desta forma um grande
número de requisições de conexão (pacotes SYN) é enviando, de tal maneira que
o servidor não seja capaz de responder a todas elas. A pilha de memória sofre
então um overflow e as requisições de conexões de usuários legítimos são, desta
forma, desprezadas, prejudicando a disponibilidade do sistema.. Qual seria este
ataque:

Port Scanning.
Fraggle.
Syn Flooding.
Packet Sniffing.
Ip Spoofing.

Gabarito
Comentado

3. Recente pesquisa realizada pela ESET no País identificou que 73% das corporações
consultadas foram vítimas de algum incidente relacionado à segurança da
informação nos últimos meses, o que sugere falhas nas políticas e ferramentas
voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma
reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita
nossa conhecida, qual seria a melhor forma de definir a fase de "Levantamento
das informações" nesta receita:

Esta fase consiste na penetração do sistema propriamente dita. Nesta fase

são exploradas as vulnerabilidades encontradas no sistema.
Fase onde o atacante explora a rede baseado nas informações obtidas na
fase de reconhecimento.
É uma fase preparatória onde o atacante procura coletar o maior número
possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento
do ataque.
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema.
Poderá também protege-lo de outros atacantes através da utilização de
¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans.
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar
seus atos não autorizados com o objetivo de prolongar sua permanência na
máquina hospedeira, na utilização indevida dos recursos computacionais.
4. A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque
ocorreu através do envio de informações inconsistentes para um campo de
entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque
de:

Buffer Overflow
Fragmentação de pacotes IP
Fraggle
SQL injection
Smurf

Gabarito
Comentado

5. Após o crescimento do uso de sistemas de informação, comércio eletrônico e

tecnologia digital as empresas se viram obrigadas a pensar na segurança de suas
informações para evitar ameaças e golpes. Assim, a segurança da informação
surgiu para reduzir possíveis ataques aos sistemas empresariais e domésticos.
Resumindo, a segurança da informação é uma maneira de proteger os sistemas de
informação contra diversos ataques, ou seja, mantendo documentações e
arquivos. Podemos citar como ítens básicos, reconhecidos, de um ataque a
sistemas de informação:

Engenharia Social, Invasão do sistema e Alteração das informções.

Adequação das informações, Pressão sobre os funcionários e Descoberta de
senhas.
Estudo do atacante, Descoberta de informações e Formalização da invasão.
Levantamento das informações, Exploração das informações e Obtenção do
acesso.
Scaming de protocolos, Pedido de informações e Invasão do sistema.

Gabarito
Comentado
6. Em relação as afirmativas abaixo assinale apenas a opção que contenha apenas as
afirmações VERDADEIRAS:

I-Phishing é um tipo de fraude em que o atacante obtém informações privativas

de uma pessoa. Essas informações podem ser números de cartão de crédito,
senhas, números da conta bancaria, etc.

II- Phishing é um tipo de ataque que tem como objetivo adquirir identidades
através de e-mails ou mensagens instantâneas.

III-Phreaking é um expressão utilizada pra denominar um grupo de pessoas que

pesquisam e exploram equipamentos dos sistemas de telefonia e sistemas
conectados à rede pública de telefone.

Apenas I e II
Apenas III
I, II e III
Apenas II e III
Apenas I

Explicação:

Todas estão corretas

7. Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir
posteriormente o acesso à máquina invadida para o atacante ?

Worm
Spam
0Day
Rootkit
Backdoor
8. Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um
excessivo número de pacotes PING para o domínio de broadcast da rede? Neste
tipo de ataque o endereço de origem utilizado é o endereço IP da vítima desejada,
de forma que todos os hosts do domínio de broadcast irão responder para este
endereço IP , que foi mascarado pelo atacante.

Smurf
Shrink Wrap Code
Fraggle
Dumpster Diving ou Trashing
Phishing Scan

1. Você trabalha na gestão de risco de sua empresa e verificou que o custo de

proteção contra um determinado risco está muito além das possibilidades
da organização e portanto não vale a pena tratá-lo. Neste caso você:

Trata o risco a qualquer custo

Rejeita o risco
Ignora o risco
Comunica o risco
Aceita o risco

Gabarito
Comentado

2. Qual das opções abaixo representa o tipo de ação quando observamos que o custo
de proteção contra um determinado risco não vale a pena ser aplicado:

Aceitação do Risco
Recusar o Risco
Monitoramento do Risco
Comunicação do Risco
Garantia do Risco
3. Qual das opções abaixo não representa uma das etapas da Gestão de Risco:

Identificar e avaliar os riscos.

Manter e melhorar os riscos identificados nos ativos
Verificar e analisar criticamente os riscos.
Selecionar, implementar e operar controles para tratar os riscos.
Manter e melhorar os controles

4. Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os

riscos na área de infra-estrutura, pretende instalar algumas câmeras de vídeo,
além da colocação de avisos sobre a existência de alarmes. Neste caso que tipo de
barreira você está implementando?

Detectar
Desencorajar
Deter
Dificultar
Discriminar

5. Referente ao processo de Gestão de incidentes, quais é a sequência que compõem

o processo de gestão de incidentes sequencialmente ?

Ameaça, impacto, incidente e recuperação

Ameaça, incidente, impacto e recuperação
Impacto, ameaça, incidente e recuperação
Incidente, impacto, ameaça e recuperação
Incidente, recuperação, impacto e ameaça

Gabarito
Comentado
6. Gerenciar riscos é um dos passos mais importantes no alcance da governança e da
gestão de TI. Os riscos de operação dos serviços de TI estão diretamente
relacionados às operações de negócios, e a mitigação destes riscos é fator crítico
na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da
Informação significa reconhecer as vulnerabilidades e ameaças do ambiente,
avaliá-las e propor controles (soluções e ferramentas) que mitiguem os riscos aos
níveis aceitáveis. Como podemos definir o método "quantitativo" na Análise e
Avaliação dos Riscos:

Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a

concretização do dano, reduzi-lo ou impedir que se repita.
Controles que reduzem a probabilidade de uma ameaça se concretizar ou
diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo
assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos
adversos na organização.
Em vez de usarmos valores numéricos para estimar os componentes do
risco, trabalhamos com menções mais subjetivas como alto, médio e baixo.
A métrica é feita através de uma metodologia na qual tentamos quantificar
em termos numéricos os componentes associados ao risco.O risco é
representando em termos de possíveis perdas financeiras.
Os resultados dependem muito do conhecimento do profissional que
atribuiu notas aos componentes do risco que foram levantados.

Gabarito
Comentado

7. Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que
mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre
existe alguma porção de risco que não é eliminada. Neste caso estamos nos
referindo a que tipo de risco:

Risco verdadeiro;
Risco residual;
Risco tratado;
Risco percebido;
Risco real;
8. É essencial determinar o propósito da gestão de riscos a ser implementada na
organização, pois ele afeta o processo em geral e a definição do contexto em
particular. Qual das opções abaixo Não representa um destes propósitos?

Preparação de um plano de continuidade de negócios.

Descrição dos requisitos de segurança da informação para um produto.
Preparação de um plano para aceitar todos os Riscos
Preparação de um plano de respostas a incidentes.
Conformidade Legal e a evidência da realização dos procedimentos corretos

1
Questão

Sobre a segurança da informação no ambiente corporativo, leia as asserções

a seguir:

I. Antes de se estabelecer qual a melhor política de segurança, faz-se

necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa
forma, implantações de mecanismos de segurança não serão adotados,
inadequadamente.

II. Os administradores precisam de procedimentos para conduzir uma

avaliação periódica sobre segurança da informação, revisar os resultados e
tomar as medidas necessárias, treinar e educar seus funcionários sobre o
assunto.

III. Antigamente a atenção dada à segurança da informação estava focada

apenas nas pessoas. Atualmente, notamos que o desafio está na tecnologia.

Após a leitura, analise a alternativas e assinale a correta.

Somente as asserções I e II estão corretas

Somente a asserção III está correta
Somente a asserção II está correta
Somente as asserções II e III estão corretas
Somente as asserções I e III estão corretas
Respondido em 29/11/2021 10:17:40

Explicação:
I. Antes de se estabelecer qual a melhor política de segurança, faz-se
necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa
forma, implantações de mecanismos de segurança não serão adotados,
inadequadamente.

II. Os administradores precisam de procedimentos para conduzir uma

avaliação periódica sobre segurança da informação, revisar os resultados e
tomar as medidas necessárias, treinar e educar seus funcionários sobre o
assunto.

III. Antigamente a atenção dada à segurança da informação estava focada

apenas na tecnologia. Atualmente, notamos que o desafio vai além desta
amplitude e engloba, também, a construção de uma relação de confiabilidade
com os clientes e parceiros da empresa.

2
Questão

O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar,

implementar, manter e melhorar a gestão de segurança de informação em
uma empresa.A norma deve ser aplicada a todos os tipos de organizações
seja, por exemplo, empreendimentos comerciais, agências governamentais ou
mesmo organizações sem fins lucrativos. A norma especifica os requisitos
para implementação de controles de segurança adaptados as particularidades
de cada organização.

Essa descrição está relacionada com qual norma?

NBR ISO/IEC 27012

NBR ISO/IEC 28002
NBR ISO/IEC 27052
NBR ISO/IEC 27002
NBR ISO/IEC 7002
Respondido em 29/11/2021 10:17:29

Explicação:

NBR ISO/IEC 27002

3
Questão
Sobre NBR ISO/IEC 27002 analise as opções abaixo:

I- O grande objetivo da norma é estabelecer diretrizes e princípios para

iniciar, implementar, manter e melhorar a gestão de segurança de informação
em uma empresa.

II-A norma NBR ISO/IEC 27002 não deve ser aplicada a todos os tipos de
organizações.

III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um
guia prático, que o auxiliará a desenvolver os procedimentos de segurança da
informação da empresa e as práticas mais eficazes de gestão de segurança.

Assinale a opção que contenha apenas afirmações corretas:

Apenas III
Apenas I
Apenas II
I, II e III
Apenas I e III
Respondido em 29/11/2021 10:18:09

Explicação:

O certo seria:

A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de

organizações seja, por exemplo, empreendimentos comerciais, agências
governamentais ou mesmo organizações sem fins lucrativos

4
Questão

A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão

da segurança da informação. De acordo com a Norma, parte importante do
processo do estabelecimento da segurança é a realização do inventário dos
diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de
acordo com a Norma, um exemplo de ativo do tipo intangível é

A base de dados e arquivos

A reputação da organização
O serviço de iluminação
O equipamento de comunicação
O plano de continuidade do negócio.
 Respondido em 29/11/2021 10:18:20

5
Questão

A norma ISO 27002 estabelece um referencial para as organizações

desenvolverem, implementarem avaliarem a gestão da segurança da
informação. Estabelece diretrizes e princípios gerais para iniciar, implementar,
manter e melhorar a gestão de segurança da informação em uma
organização. Em relação a Análise de Risco utilizada por esta norma complete
as lacunas: A partir da análise/avaliação de riscos levando-se em conta os
objetivos e _________________ globais da organização são identificadas as
ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa
de ocorrência das ____________ e do impacto potencial ao negócio.

determinações, ações
oportunidades, vulnerabilidades
estratégias, ameaças
especulações, ameaças
oportunidades, ações
Respondido em 29/11/2021 10:18:33

6
Questão

A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o

acesso físico não autorizado, danos e interferências com as instalações e
informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo
referencia a que tipo de ação de Segurança:

Segurança Física e do Ambiente.

Segurança em Recursos Humanos.
Gerenciamento das Operações e Comunicações.
Controle de Acesso.
Segurança dos Ativos.
Respondido em 29/11/2021 10:19:19

Gabarito
Comentado
 7
Questão

Certificações de organizações que implementaram a NBR ISO/IEC 27001 é

um meio de garantir que a organização certificada:

implementou um sistema para gerência da segurança da informação de

acordo com os desejos de segurança dos funcionários e padrões
comerciais.
implementou um sistema para gerência da segurança da informação de
acordo com os padrões e melhores práticas de segurança reconhecidas
no mercado.
implementou um sistema para gerência da segurança da informação de
acordo com os padrões nacionais das empresas de TI.
implementou um sistema para gerência da segurança da informação de
acordo com os padrões de segurança de empresas de maior porte
reconhecidas no mercado.
implementou um sistema para gerência da segurança da informação de
acordo fundamentado nos desejos de segurança dos Gerentes de TI.
Respondido em 29/11/2021 10:19:22

Gabarito
Comentado

8
Questão

A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da

Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para
iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma
organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e
Requisitos Legais. Podemos definir como Requisitos do Negócio:

Uma orientação de como a organização deve proceder para estabelecer a

política de segurança da informação.
Determina que a organização deve prevenir o acesso físico não autorizado,
danos e interferências com as instalações e informações da organização.
É o conjunto de princípios e objetivos para o processamento da informação
que uma organização tem que desenvolver para apoiar suas operações.
São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais
que a organização, seus parceiros comerciais, contratados e provedores de
serviço tem que atender.
A orientação da organização para assegurar que funcionários, fornecedores e
terceiros entendam suas responsabilidades e estejam de acordo com os seus
papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos
recursos.
 Respondido em 29/11/2021 10:19:29

1. A organização deve executar ações para melhorar

continuamente a eficácia do SGSI. Estas ações ocorrem
através: do uso da política de segurança, dos objetivos de
segurança, resultados de auditorias, da análise dos eventos
monitorados e através de ações:

Corretivas e Correção.
Corretivas e Corrigidas.
Corrigidas e Preventivas.
Prevenção e Preventivas.
Corretivas e Preventivas.

2. A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da

segurança da informação das organizações. Nessa norma é apresentado os
requisitos necessários que uma organização necessitará na estruturação de seu
sistema de gestão da segurança da informação. Sobre essa norma analise as
afirmativas abaixo:

I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis
danos causados, e assim implantar controles para minimizá-los

II-A norma não possibilita que as organizações no mundo todo possam se

certificar de suas práticas de gestão de segurança da informação.

III-A norma fornece suporte para que as organizações possam utilizar as melhores
técnicas de monitoramento e controles, que envolvam recursos tecnológicos e
humanos.

Assinale a opção que contenha apenas afirmações corretas:

Apenas III
Apenas I e III
I, II e III
Apenas I
 Apenas II e III

Explicação:

A afirmativa II é falsa

3. A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da

segurança da informação das organizações. Nessa norma é apresentado os
requisitos necessários que uma organização necessitará na estruturação de seu
sistema de gestão da segurança da informação. Sobre essa norma analise as
afirmativas abaixo:

I-Estabelece os limites e critérios para definir quais os riscos que serão avaliados;

II-A norma ISO/IEC 27001 é certificadora, o que significa que é utilizada por
institutos credenciados em diversos países.

III-A norma NBR ISO/IEC 27001 também apresenta como objetivo especificar os
requisitos de um Sistema de Gestão de Segurança da Informação (SGSI), que é
baseado nos riscos da organização.

Assinale a opção que contenha apenas afirmações corretas:

I, II e III
Apenas I
Apenas II
Apenas I e III
Apenas III

Explicação:

Todas são verdadeiras

4. A organização deve executar ações para melhorar continuamente a eficácia do
SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos
de segurança, resultados de auditorias, da análise dos eventos monitorados e
através de ações:

Corrigidas e Preventivas
Corretivas e Corrigidas
Prevenção e Preventivas
Corretivas e Preventivas
Corretivas e Correção

5. Independente do tamanho, da natureza e do tipo da organização, os requisitos

definidos pela norma são genéricos e podem ser aplicados a todas as
organizações. Entretanto existem quatro itens que são obrigatórios de
implementação da norma ISO/IEC 27001 em qualquer organização:

Controle de registros, responsabilidade da direção, melhoria do SGSI e

auditorias internas
Sistema de gestão de segurança da informação, classificação da
informação, auditoria internas e análise de risco.
Sistema de gestão de segurança da informação, análise de risco, auditorias
internas e melhoria do SGSI
Responsabilidade da direção, auditorias internas, controle de registros,
sistema de gestão de segurança da informação.
Sistema de gestão de segurança da informação, responsabilidade da
direção, análise crítica do SGSI pela direção e Melhoria do SGSI

Gabarito
Comentado

6. Não se pode dizer que há segurança da informação, a menos que ela seja
controladae gerenciada. A segurança da informação é um processo que visa
minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de
Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo
de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e
negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em
perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o
 SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização
deve inicialmente definir:

A abordagem de análise/avaliação das vulnerabilidades da organização.

Identificar e avaliar as opções para o tratamento das vulnerabilidades.
A política do BIA.
Identificar, Analisar e avaliar os riscos.
A politica de gestão de continuidade de negócio.

Gabarito
Comentado

7. A utilização de crachás de identificação de colaboradores numa organização está

fundamentalmente associado a que tipo de proteção ?

Correção.
Limitação.
Recuperação .
Reação.
Preventiva.

8. A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a
fim de estruturar todos os processos envolvidos em um sistema de gestão da
segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove
uma melhora nos processos da organização e uma solução eficiente para os
problemas.

Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa:

Esta etapa implementa através de programas de conscientização e

treinamento para os funcionários em relação as operações e recursos do
SGSI.
Nesta etapa são colocadas em prática as ações corretivas e preventivas que
foram identificadas nas etapas anteriores.
É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar
a eficácia dos controles e políticas de segurança estabelecidos.
 Estabelece uma política, metas e processos de um sistema de gestão da
segurança da informação. Esta etapa deve definir os critérios para a
aceitação dos riscos e qual nível de aceitação.
Nenhuma das opções anteriores.

Explicação:

A primeira etapa do PDCA é o Plan (planejamento), que estabelece uma política,

metas e processos de um sistema de gestão da segurança da informação. Esta
etapa deve definir os critérios para a aceitação dos riscos e qual nível de
aceitação.

1. O ciclo de vida da Gestão de continuidade de negócios é composto por seis

elementos obrigatórios e que podem ser implementados em todos os tipos
de organizações de diferentes tamanhos e setores. Cada organização ao
implementar a gestão da continuidade de negócios deverá adaptar as suas
necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto.
Como podemos definir o elemento "Desenvolvendo e Implementando"?

Para que às partes interessadas tenham confiança quanto à capacidade da

organização de sobreviver a interrupções, a Gestão de continuidade de
negócio deverá torna-se parte dos valores da organização, através da sua
inclusão na cultura da empresa.
Resulta na criação de uma estrutura de gestão e uma estrutura de
gerenciamento de incidentes, continuidade de negócios e planos de
recuperação que irão detalhar os passos a serem tomados durante e após
um incidente , para manter ou restaurar as operações.
Para o estabelecimento do programa de GCN é necessário entender a
organização para definir a priorização dos produtos e serviços da
organização e a urgência das atividades que são necessárias para fornecê-
los.
A organização precisa verificar se suas estratégicas e planos estão
completos, atualizados e precisos. O GCN deverá ser testado, mantido,
analisado criticamente, auditado e ainda identificada as oportunidades de
melhorias possíveis.
Permite que uma resposta apropriada seja escolhida para cada produto ou
serviço, de modo que a organização possa continuar fornecendo seus
produtos e serviços em um nível operacional e quantidade de tempo
aceitável durante e logo após uma interrupção.
 Gabarito
Comentado

2. A gestão de continuidade de negócios (GCN) faz parte de um processo que

possibilita que uma organização lide com os incidentes de interrupção que
poderiam impedi-la de atingir seus objetivos. Sobre a GCN analise as afirmativas
abaixo:

I-A continuidade de negócios pode ser descrita pela capacidade de continuar a

entregar seus produtos e serviços em níveis aceitáveis após a ocorrência de um
incidente de interrupção.

II-Através da integração da gestão de continuidade de negócios (GCN) e de uma

estrutura sistêmica de gestão da organização é que criamos um Sistema de
Gestão de Continuidade de Negócios (SGCN).

III-O SGCN pode ser aplicado apenas em empresas de porte grande.

Assinale a opção que contenha apenas afirmações verdadeiras:

I, II e III
Apenas I e II
Apenas III
Apenas I
Apenas I e III

Explicação:

O SGCN pode ser aplicado em empresas de porte grande, médio e pequeno e que
operem em setores industrial, comercial, público e sem fins lucrativos.

3. Para realizar o login da rede da sua empresa, Pedro necessita digitar além do
usuário, também a sua senha como forma de validação do usuário digitado. Neste
caso Pedro está utilizado qual propriedade de segurança?
 Auditoria;
Autenticidade;
Não-Repúdio;
Integridade;
Confidencialidade;

Gabarito
Comentado

4. BIA, Business Impact Analysis é o nome em inglês de um relatório executivo

chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos
os prováveis impactos de forma ............................e........................... dos
principais processos de negócios mapeados e entendidos na organização, no caso
de interrupção dos mesmos. É o coração do Programa de Continuidade de
Negócios pois, norteia todos os esforços e a tomada de decisões para a
implementação da Continuidade de Negócios.

Estatística e Ordenada
Clara e Intelegível
Qualitativa e Quantitativa
Simples e Objetiva.
Natural e Desordenada

Gabarito
Comentado

5. O ciclo de vida da Gestão de continuidade de negócios é composto por seis

elementos obrigatórios e que podem ser implementados em todos os tipos de
organizações de diferentes tamanhos e setores. Cada organização ao implementar
a gestão da continuidade de negócios deverá adaptar as suas necessidades: o
escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir
o elemento "Entendendo a Organização"?

Para que às partes interessadas tenham confiança quanto à capacidade da

organização de sobreviver a interrupções, a Gestão de continuidade de
negócio deverá torna-se parte dos valores da organização, através da sua
inclusão na cultura da empresa.
 O desenvolvimento e implementação de uma resposta de GCN resulta na
criação de uma estrutura de gestão e uma estrutura de gerenciamento de
incidentes, continuidade de negócios e planos de recuperação que irão
detalhar os passos a serem tomados durante e após um incidente , para
manter ou restaurar as operações.
A determinação da estratégia de continuidade de negócio permite que uma
resposta apropriada seja escolhida para cada produto ou serviço, de modo
que a organização possa continuar fornecendo seus produtos e serviços em
um nível operacional e quantidade de tempo aceitável durante e logo após
uma interrupção.
Para o estabelecimento do programa de GCN é necessário entender a
organização para definir a priorização dos produtos e serviços da
organização e a urgência das atividades que são necessárias para fornecê-
los.
A organização precisa verificar se suas estratégicas e planos estão
completos, atualizados e precisos. O GCN deverá ser testado, mantido,
analisado criticamente, auditado e ainda identificada as oportunidades de
melhorias possíveis.

Gabarito
Comentado

6. Qual a ação no contexto da gestão da continuidade de negócio e baseado na

norma NBR ISO/IEC 15999, que as organizações devem implementar para a
identificação das atividades críticas e que serão utilizadas para o perfeito
dimensionamento das demais fases de elaboração do plano de continuidade ?

Auditoria interna
Análise de impacto dos negócios (BIA)
Classificação da informação
Análise de vulnerabilidade
Análise de risco

Gabarito
Comentado

7. Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição

para desastre?

Eventos de ordem natural ou acidental, como terremotos e incêndios.

 Um evento que causa uma parada nos processos da organização por um
período de tempo maior do que ela considera aceitável.
Uma catástrofe de grandes impactos.
Um ataque massivo pela internet.
Um evento súbito, que ocorre de maneira inesperada.

Gabarito
Comentado

8. Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC

15999 implementada. Qual das opções abaixo não está em conformidade com as
orientações da norma citada?

Confirmar a natureza e extensão do incidente

Tomar controle da situação
Afastar o incidente do cliente
Controlar o incidente
Comunicar-se com as partes interessadas

1. A política de segurança da informação define qual é a filosofia da organização em

relação aos acessos dos usuários a fim de assegurar que todas as informações da
organização e de seus clientes estejam protegidas contra possíveis danos.A
política de segurança da informação define qual é a filosofia da organização em
relação aos acessos dos usuários a fim de assegurar que todas as informações da
organização e de seus clientes estejam protegidas contra possíveis
danos.De quem é a responsabilidade de proteger as informações?

Apenas o gerente
De todos os funcionários da organização.
Apenas do gestor de informação.
Apenas do estagiário.
Apenas do presidente da empresa
 Explicação:

A proteção das informações é de responsabilidade de todos dentro da

organização, independentemente de seu nível hierárquico.

2. Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro
de segurança e seus componentes ?

Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto

necessitam de proteção
Redes Não Confiáveis - Não possuem políticas de segurança.
Redes Não Confiáveis - Não possuem controle da administração.
Redes Desconhecidas - Não é possível informar, de modo explícito, se a
rede é confiável ou não confiável.
Redes Não Confiáveis - Não é possível informar se necessitam de proteção.

3. Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada
um possui um par de chaves assimétricas, sendo uma delas pública e a outra,
privada, emitidas por autoridade certificadora confiável. Uma mensagem será
enviada de Ana para Bernardo, satisfazendo às seguintes condições:
1 - a mensagem deve ser criptografada de modo que não seja interceptável no
caminho;
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por
Ana;
3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que
atendam às condições anteriores.
A mensagem de Ana para Bernardo deve ser assinada

e criptografada com a chave pública de Ana.

com a chave privada de Ana e criptografada com a chave pública de
Bernardo.
e criptografada com a chave privada de Bernardo.
com a chave pública de Ana e criptografada com a chave privada de
Bernardo.
com a chave privada de Bernardo e criptografada com a chave pública de
Ana.
 Gabarito
Comentado

4. Seja qual for o objeto da contingência : uma aplicação, um processo de negócio,

um ambiente físico e, até mesmo uma equipe de funcionários, a empresa deverá
selecionar a estratégia de contingência que melhor conduza o objeto a operar sob
um nível de risco controlado. Nas estratégias de contingência possíveis de
implementação, qual a estratégia que está pronta para entrar em operação assim
que uma situação de risco ocorrer?

Warm-site
Acordo de reciprocidade
Hot-site
Realocação de operação
Cold-site

Gabarito
Comentado

5. Que cuidado deve ser tomado no armazenamento de fitas de backup fora da

organização?

O local de armazenamento deve estar a, no mínimo, 40 quilômetros da

organização.
O local de armazenamento deve ser de fácil acesso durante o expediente.
O local de armazenamento deve estar protegido contra acessos não
autorizados.
O local de armazenamento deve estar a, no mínimo, 25 quilômetros da
organização.
O local de armazenamento deve estar protegido por guardas armados.

6. Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa

pretende implantar um servidor Internet para que os clientes possam acessar as
 informações oferecidas pela empresa à seus clientes. Em qual tipo de rede você
localizaria este servidor considerando que você irá utilizar o conceito de perímetro
de segurança?

em uma subrede interna protegida por um proxy

ligado diretamente no roteador de borda
na Zona Desmilitarizada (DMZ) suja
na rede interna da organização
na Zona Desmilitarizada (DMZ) protegida

7. A sub-rede, também conhecida como rede de perímetro, utilizada para transmitir

informações entre uma rede confiável e uma não confiável, mantendo os serviços
que possuem acesso externo separados da rede local, é chamada de:

DMZ
Firewall
Proxy
Intranet
VPN

Gabarito
Comentado

8. Um problema muito grande que pode ocorrer dentro de uma organização, é a

perda de uma determinada informação que não possui cópia. Independentemente
do que originou a perda da informação, a organização necessita cita ter condições
de recuperar uma informação caso ela tenha sido destruída. Em relação ao Backup
das informações assinale a opção que contenha apenas afirmações verdadeiras:

I-A solução de backup em tempo real é a mais eficiente e a que oferece maior
grau de certeza de aproveitamento imediato da cópia dos dados perdidos.

II-A escolha do local onde ficarão os dados armazenados não é importante para se
enfrentar situações de desastre.
 III-Para tomar uma decisão profissional, é necessário analisar as ameaças, avaliar
o risco, identificar o nível de perigo e decidir o investimento junto aos diretores da
empresa.

Apenas II
Apenas I e III
I, II e III
Apenas I e II
Apenas III

Explicação:

A questão II é falsa
,