Curso Evg - Segurança Da Informação

MODULO 1
Avaliar 25,00 de um máximo de 25,00(100%)

Texto da questão
Com relação a alguns termos utilizados na Segurança da Informação¸ assinale a alternativa

correta.
Escolha uma opção:
a. Dado é a informação apresentada de forma estruturada.
b. Informação é o dado que possui valor para o contexto de quem recebe.
c. Dado e informação possuem o mesmo valor agregado dentro de uma organização.
d. Com relação ao valor agregado e potencial de uso estratégico para uma organização, pode-
se dizer que o dado possui mais valor do que o conhecimento.
e. Inteligência é o conhecimento sintetizado, mas não tem relação com a experiência e intuição
de um indivíduo.
Feedback
Sua resposta está correta.
a) Incorreta. A informação é o dado apresentado de forma estruturada.
c) Incorreta. A informação possui maior valor agregado do que o dado dentro de uma
organização.
d) Incorreta. O conhecimento possui mais valor agregado do que o dado, pois já passou por
diversas análises como confiabilidade, relevância e importância, além de já ter sido estruturado.
e) Incorreta. Inteligência é o conhecimento sintetizado, feito por meio da experiência e intuição

de um indivíduo.
Questão 2
Correto
Atingiu 1,00 de 1,00
Marcar questão
Texto da questão
A Segurança da Informação tem como objetivo a “preservação da confidencialidade, da

integridade e da disponibilidade da informação”.
Assinale a alternativa correta.
a. Confidencialidade diz respeito a informação estar acessível a todos que necessitam dela.
b. Quando se obtém a disponibilidade da informação, automaticamente se alcança a sua
confidencialidade.
c. São itens que não tem relação com a garantia da disponibilidade da informação: nobreak e
política de backup.
d. Integridade é um atributo que visa a garantir que a informação armazenada ou transferida

está correta e é apresentada de forma correta para quem a consulta.
e. A Segurança da Informação pode ser alcançada em sua plenitude por meio dos seguintes
atributos: autenticidade, conformidade e não-repúdio.
Feedback
a) Incorreta. Na confidencialidade a informação deve ser acessível exclusivamente a usuários

autorizados.
b) Incorreta. Ao se alcançar a disponibilidade da informação a sua confidencialidade não é

alcançada automaticamente.
c) Incorreta. A disponibilidade diz respeito a garantir que a informação esteja disponível para
ser utilizada pelos usuários autorizados sempre que necessário e o nobreak pode auxiliar
quando, por exemplo, a organização fica sem energia temporariamente e a política de backup
pode trazer de volta dados perdidos ou apagados erroneamente.
e) Incorreta. Somente os atributos de autenticidade, conformidade e não-repúdio não permitem

alcançar a segurança da informação por completo.
Questão 3
Correto
Marcar questão
Texto da questão
A Política Nacional de Segurança da Informação – PNSI, instituída por meio do DECRETO Nº

9.637, DE 26 DE DEZEMBRO DE 2018, instituiu algumas finalidades relacionadas à
Segurança da Informação.
Marque a alternativa que contenha todas essas finalidades.
a. Confidencialidade, autenticidade, disponibilidade e integridade.
b. Não-repúdio, autenticidade, disponibilidade e integridade.
c. Integridade, conformidade e disponibilidade.
d. Autenticidade e confidencialidade.
e. Disponibilidade, integridade, vulnerabilidade e confidencialidade.
Feedback
As finalidades elencadas na Política Nacional de Segurança da Informação – PNSI em seu

artigo 1º. são:
 Disponibilidade
 Integridade
 Confidencialidade
 Autenticidade
Questão 4
Correto
Marcar questão
Texto da questão
Com relação a conceito de ativo e sua classificação, assinale a alternativa correta.
a. Em uma organização somente os itens palpáveis são classificados como ativos, visto que
podem ser vendidos no mercado posteriormente, tanto os itens novos quanto os itens usados
aplicando a devida depreciação.
b. Ativo é tudo que tenha valor para uma organização.
c. Em qualquer tipo de organização não se deve considerar a informação como um ativo.
d. Os ataques hackers procuram, na maioria das vezes, obter informações que permitam ter
acesso à organização para que seja possível furtar itens palpáveis.
e. Ao se classificar um ativo, aspectos como quem é o responsável por ele e onde ele se
localiza têm importância ínfima.
Feedback
a) Incorreta. Tanto os itens palpáveis quanto os não palpáveis podem ser classificados como
ativos para uma organização.
c) Incorreta. A informação, atualmente, é um dos maiores ativos para grande parte das
organizações.
d) Incorreta. Os ataques hackers buscam, na maioria das vezes, obter informações nos
sistemas internos da empresa e informação é um item não-palpável.
e) Incorreta. O responsável pelo ativo e onde o ativo se localiza são uma das principais
informações a serem registradas para um bom gerenciamento de ativos.
Questão 5
Correto
Marcar questão
Texto da questão
Com a alta conectividade e maior complexidade dos sistemas de informação, tem-se

observado que as vulnerabilidades são maiores. Aliado a isso temos o grande valor agregado
das informações em formato digital, que potencialmente aumenta as chances de ataques por
pessoas interessadas em ter acesso a essas informações.
Com relação aos ativos associados a sistemas de informação, marque a alternativa correta.
a. Uma forma de implementação de mecanismo de segurança bastante difundida nas

organizações e indicada por especialistas é a segurança por obscuridade.
b. Uma boa prática na segurança de sistemas de informação é primeiramente colocá-lo em

produção e, gradativamente, ir aplicando os mecanismos de segurança.
c. A segurança é algo caro para se implementar e, na prática, deve ser uma preocupação
apenas das organizações que possuem altas cifras para investir.
d. No mundo moderno o velho conceito de “se funcionar está bom” é indicado quando se
trabalha com informações sensíveis.
e. A segurança deve sempre buscar ser proativa, ou seja, se precaver de incidentes de
segurança ao invés de focar somente em como reagir no caso de sua ocorrência.
Feedback

Questão 6
Correto
Marcar questão
Texto da questão
Com relação à transformação digital, julgue as assertivas a seguir.
I) Transformação digital são as mudanças associadas à aplicação da tecnologia digital em

todos os aspectos da sociedade humana.
II) Transformação digital é o uso de novas tecnologias digitais para permitir grandes melhorias
nos negócios.
III) A transformação digital é algo que não deve ser implementado de forma pontual na
organização. Ela deve existir e ser aprimorada conforme pessoas e organizações aprimoram e
expandem o uso de meios digitais.
IV) Transformação digital uma estratégia organizacional formulada e executada aproveitando

os recursos digitais para criar valor diferencial.
a. Todas as assertivas estão incorretas.
b. Apenas as assertivas I e II estão corretas.
c. Apenas as assertivas II e IV estão corretas.
d. Todas as assertivas estão corretas.
e. Apenas as assertivas I, II e III estão corretas.

Feedback
Todas as assertivas estão corretas. Trata-se de diversas definições para transformação digital
e o aspecto de que a transformação digital deve ser algo constante dentro de uma organização.
Questão 7
Correto
Marcar questão
Texto da questão
Com relação aos impactos que a transformação digital deve causar nas organizações e às
suas áreas-chaves, julgue as assertivas a seguir.
I) Identificar novas formas de comunicação com o cliente está relacionado à área-chave

“Experiência do Consumidor.
II) A área-chave “Modelo de Negócios” está relacionada à identificação de novos modelos de

negócio e novas formas de medir os resultados.
III) Mapeamento de processos, capacitação de colaboradores e gerenciamento de
desempenho `são aspectos relacionados à área-chave “Processos Operacionais”.
IV) A transformação digital não está relacionada a sobrevivência de um negócio, não

importando a sua natureza.
a. Apenas as assertivas I, II e III estão corretas.
c. Todas as assertivas estão corretas.
d. Apenas as assertivas II e IV estão corretas.
e. Todas as assertivas estão incorretas.

Feedback
Apenas a assertiva IV está incorreta: em muitos tipos de negócios a transformação digital é

questão de sobrevivência.
Questão 8
Correto
Marcar questão
Texto da questão
Com relação às ameaças aos Sistemas de Informação, no contexto da transformação digital,

assinale a alternativa correta.
a. O sequestro de dados por meio de malware, também conhecido como ransomware, consiste
em criptografar todo o conteúdo armazenado no computador infectado com posterior exigência
de pagamento, geralmente em bitcoin, para que os dados se tornem acessíveis novamente.
b. A engenharia social é uma técnica de ataque que necessita de grande conhecimento de
tecnologia por parte do atacante para ter sucesso.
c. No ataque distribuído de negação de serviço (DDos, em inglês) o objetivo é sobrecarregar

servidores de diversas organizações ao mesmo tempo partindo de um único computador do
atacante.
d. O ataque chamado “Smishing” consiste em enviar e-mail à vítima, induzindo-a a clicar em
um link, solicitando uma ação como fazer download de algum malware ou digitar dados em
algum site falso.
e. A engenharia social pode ser mitigada pelas organizações mantendo-se os antivírus
atualizados.
Feedback
b) Incorreta. Engenharia social consiste em enganar a vítima sem utilizar conhecimento sobre
segurança da informação ou tecnologia, usando principalmente persuasão.
c) Incorreta. No DDoS é feita uma sobrecarga ao servidor da organização para que os recursos
do sistema fiquem indisponíveis. Essa sobrecarga é feita por meio dos computadores
chamados zumbis, que geralmente são computadores infectados e conectados à Internet e que
obedecem aos comandos dos computadores mestres do ataque.
d) Incorreta. O ataque chamado “Smishing” consiste em enviar SMS à vítima, induzindo-a a

clicar em um link, solicitando uma ação como fazer download de algum malware ou digitar
dados em algum site falso.
e) Incorreta. Os antivírus atualizados não podem impedir que um funcionário entregue

informações sensíveis a atacantes, por exemplo. Vide definição de engenharia social no
feedback da letra b).
MODULO 2
Questão 1
Correto
Texto da questão
Com relação ao processo de elaboração e implementação da Política de Segurança da

Informação, julgue as assertivas a seguir.
I) A Política de Segurança da Informação deve ser elaborada exclusivamente pela equipe de
TI, sem participação da alta administração ou dos demais colaboradores.
II) Convém que o conjunto de Políticas de Segurança da Informação seja definido, aprovado

pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
III) É comum que a Política de Segurança da Informação apresente uma estrutura hierárquica,
onde diversos documentos de política sejam desenvolvidos tendo como base e estando em
conformidade com uma política de segurança corporativa.
IV) Procedimentos de rotina na organização como atualização de antivírus, política de senha,

uso de e-mail e organização da mesa de trabalho são aspectos abordados no conjunto que
integra a Política de Segurança da Informação.
a. Apenas as assertivas I e III estão corretas.
d. Apenas as assertivas II, III e IV estão corretas.
Feedback
A assertiva I está incorreta porque a elaboração da Política de Segurança da Informação não

deve ficar a cargo somente dos colaboradores da área de TI, ela deve envolver outros
colaboradores e alta administração também.
Questão 2
Correto
Marcar questão
Texto da questão
A Política de Segurança da Informação é um documento vivo, que deve acompanhar a

evolução das atividades da organização e as ameaças externas e internas.
I) A segurança da informação é uma responsabilidade de todos dentro de uma organização.
II) A cultura de segurança da informação pode ser atingida por meio de educação, treinamento
e conscientização.
III) O processo de implantação de uma Política de Segurança de Informação demanda

recursos (pessoal ou financeiro), pois envolve mudanças culturais na empresa e pode exigir a
aquisição de equipamentos, softwares ou mesmo aprimoramento de instalações físicas.
IV) A Política de Segurança da Informação é um documento estático, que não necessita de

monitoramento já que na sua elaboração já foram elencados e formalizados todos os aspectos
de segurança da informação relevantes para a organização.
b. Apenas as assertivas I, II e III estão corretas.
Feedback
Apenas a assertiva IV está incorreta. A Política de Segurança da Informação é um documento

vivo, que deve acompanhar a evolução das atividades da organização e as ameaças externas
e internas.
Questão 3
Correto
Marcar questão
Texto da questão
Com relação à segurança física do ambiente, visando a resguardar a organização, julgue as

assertivas a seguir.
I) Deve-se restringir o acesso aos ambientes que possuem recursos de informação apenas às
pessoas que trabalham e utilizam esses ambientes.
II) Sistemas de detecção e combate a incêndio devem ser considerados, sempre objetivando,

em primeiro lugar, a segurança da informação.
III) Nem todos os aspectos relacionados à segurança física do ambiente precisam ser

implementados, mas eles devem ser ao menos avaliados quanto a sua necessidade de
implementação.
IV) Embora nem sempre seja possível escolher a vizinhança, deve-se procurar ao menos
monitorá-la, pois se uma organização vizinha não tomar as devidas providências com relação a
sua proteção física, isso pode impactar diretamente sua organização.
d. Apenas as assertivas I, III e IV estão corretas.
Feedback
Apenas a assertiva II está incorreta. Nos sistemas de combate e detecção de incêndio deve-se
prezar pela vida, antes da segurança da informação.
Questão 4
Correto
Marcar questão
Texto da questão
No controle lógico de acesso à informação alguns aspectos devem ser considerados. Nesse
contexto, julgue as alternativas a seguir a marque a correta.
a. A segurança dos aplicativos envolve não somente o código executável, mas também o seu
código-fonte.
b. Os logs registram as atividades de sistemas e usuários e são importantes para identificar
comportamentos de usuários e programas, mas não têm muito uso para investigar tentativas de
invasões.
c. O controle lógico de acesso à informação é uma atividade simples e pouco ligada a
tecnologias.
d. Os sistemas operacionais, por serem softwares robustos e complexos, não necessitam de
atualizações após suas instalações.
e. É uma boa prática o compartilhamento de um nome de usuário de sistema com mais de um
colaborador, pois essa abordagem facilita o gerenciamento de identificação e autenticação nos
sistemas.
Feedback
b) Incorreta. Os logs são muito importantes para analisar as tentativas de invasão.
c) Incorreta. O controle lógico de acesso à informação é uma atividade complexa e muitas

tecnologias estão envolvidas em seu gerenciamento e proteção, sendo algumas delas:
Criptografia, infraestrutura de chave pública, VPN, antivírus, filtragem de conteúdo, sistemas de

detecção de intrusão, respostas a incidentes, backups, entre diversas outras.
d) Incorreta. Frequentemente surgem vulnerabilidades que são exploradas pelos atacantes nos
sistemas operacionais e, ao tomarem conhecimento, os fabricantes dos sistemas operacionais
disponibilizam atualizações para impedir os ataques. Portanto, é importante mantê-lo sempre
atualizado.
e) Incorreta. A identificação do usuário deve ser única.
Questão 5
Correto
Marcar questão
Texto da questão
O Estado brasileiro possui uma regra própria de classificação da informação, regida pela Lei nº
12.527, de 18 de novembro de 2011. Essa Lei determina três graus de sigilo da informação em
seu Art. 24.
Assinale a alternativa que corresponde a esses três graus de sigilo.
a. Secreto, indisponível e reservado.
b. Reservado, público e privado.
c. Ultrassecreto, secreto e reservado.

d. Ultrassecreto, secreto e disponível.
e. Reservado, secreto e público.
Feedback
O Estado brasileiro, por meio da Lei nº 12.527, de 18 de novembro de 2011, definiu três graus
de sigilo da informação:
- ultrassecreto.
- secreto.
- reservado.
Questão 6
Incorreto
Marcar questão
Texto da questão
Com relação à classificação da informação, julgue os itens a seguir.
I) A classificação da informação tem como objetivo assegurar que ela receba um nível
adequado de proteção, de acordo com a sua importância para a organização.
II) A classificação da informação não é o objetivo final, mas sim um meio que permitirá
tratamentos diferenciados na definição de procedimentos de gestão da informação.
III) O processo de classificação da informação não pode simplesmente definir níveis simples
como “informação privada” e “informação pública”.
IV) Cada nível em que uma informação é classificada demandará um nível de controle de
acesso distinto. E esses controles deverão existir por todo o ciclo de vida da informação que
compreende seu: manuseio, armazenamento, transporte e descarte.
a. Apenas as assertivas I, II e IV estão corretas.

Feedback
Sua resposta está incorreta.
Apenas a assertiva III está incorreta: a depender do tipo da organização e controle que ela
deseja implementar, é possível que a classificação da informação se dê em apenas dois níveis,
como, por exemplo, “pública” e “privada”.
Questão 7
Correto
Marcar questão
Texto da questão
Para uma organização, ter um Plano de Continuidade de Negócio (PCN) desenvolvido e

implementado seguindo critérios e metodologias aderentes aos seus negócios é algo de grande
importância atualmente. Com relação aos objetivos principais do Plano de Continuidade de
Negócios, julgue as assertivas a seguir.
I) O PCN contribui para melhorar proativamente a resiliência da organização contra possíveis
interrupções de sua capacidade em atingir seus principais objetivos.
II) O PCN contribui para prover uma prática para restabelecer a capacidade de uma
organização fornecer seus principais produtos e serviços, em um nível previamente acordado,
dentro de um tempo previamente determinado após uma interrupção.
III) O PCN não contribui para obter reconhecida capacidade de gerenciar uma interrupção no

negócio, de forma a proteger a marca e reputação da organização.
IV) O PCN deve trabalhar com o aspecto preventivo, ou seja, buscando minimizar as chances
de um evento crítico ocorrer e, no caso de falha dessa prevenção (já que nem todas as
prevenções dependem apenas da organização), um plano de recuperação deverá ser colocado
em prática.

b. Apenas as assertivas I, II e IV estão corretas.
e. Apenas as assertivas I e III estão corretas.
Feedback
Apenas a assertiva III está incorreta. O PCN não contribui para obter reconhecida capacidade
de gerenciar uma interrupção no negócio, de forma a proteger a marca e reputação da
organização.
Questão 8
Incorreto
Marcar questão
Texto da questão
A depender do porte da organização, algumas etapas para estruturação do plano de

continuidade de negócios podem ter mais relevância que as demais, no entanto, todas devem
ser analisadas criteriosamente quanto à sua necessidade. Com relação a essas etapas, julgue
as assertivas a seguir.
I) A primeira etapa é a definição de escopo. Para que o projeto de implantação do plano se
concretize, é necessário definir um escopo factível de ser alcançado, podendo, inclusive, deixar
áreas da organização de fora do plano de continuidade de negócios.
II) A etapa de análise de risco não é pontual: a organização deve criar um processo de análise
de risco, colocá-lo em prática e mantê-lo em funcionamento.
III) Na etapa análise de impacto no negócio não é indicada a participação das áreas de

negócio da organização, pois elas têm o conhecimento para indicar o tempo máximo de
indisponibilidade aceito.
IV) A etapa de definição das estratégias de continuidade de negócio deve considerar aspectos

de continuidade relativos a pessoas, instalações, serviços de tecnologia, informação,
suprimentos e relações com partes interessadas.

c. Apenas as assertivas I, II e IV estão corretas.
e. Todas as assertivas estão corretas.
Feedback
Apenas o item III está incorreto: Um dos principais pressupostos da análise de impacto no
negócio é que há bastante dependência entre os processos de uma organização e alguns têm
mais importância do que outros. Assim, manter os processos prioritários será o objetivo durante
uma situação de contingência.
Com a análise dos processos, deve-se identificar qual o tempo que seria tolerável de
interrupção e calcular potenciais impactos e infraestrutura mínima de contingência. Esta etapa
exige ampla participação das áreas de negócio da organização, pois elas têm o conhecimento
necessário para indicar o tempo máximo de indisponibilidade aceito.
Questão 9
Correto
Marcar questão
Texto da questão
Com relação à conscientização e treinamento das pessoas dentro de uma organização quanto
à importância da implementação e manutenção de uma Política de Segurança da Informação,
julgue os itens a seguir, marcando a opção correta.
a. As falhas humanas não podem comprometer as diretrizes de segurança da informação.
b. Um funcionário, fora do ambiente de trabalho, relatar a outras pessoas desconhecidas

detalhes de um novo produto que a empresa vai lançar não pode ser considerada uma falha de
segurança da informação.
c. A aquisição e implementação das tecnologias mais avançadas de segurança da informação
é suficiente para o sucesso da Política de Segurança da Informação.
d. Todos os colaboradores de uma organização devem conhecer o seu papel dentro dela e
saber a importância das informações que ela detém e isso é alcançado com treinamentos e
conscientização.
e. No âmbito da Administração Pública Federal não há interesse em promover ações de

capacitação e profissionalização dos seus recursos humanos com relação a segurança da
informação, visto que esse seria um custo elevado e sem retorno.
Feedback
a) Incorreta. As falhas humanas podem comprometer as diretrizes de segurança da

informação.
b) Incorreta. É um exemplo de um funcionário que não conhece a importância da informação

para a empresa, ou seja, falta de conscientização.
c) Incorreta. Não basta somente investimento em compra e implementação de tecnologias

voltadas à segurança da informação, é necessário também treinamento e conscientização dos
recursos humanos, bem como um bom Plano de Segurança da Informação.
e) Incorreta. Há, no âmbito da Administração Pública Federal, o interesse no treinamento e

conscientização de seus colaboradores. Um exemplo disso é o Decreto nº 9.637, de 26 de
dezembro de 2018, que define que “Órgãos e entidades da administração pública federal”
devem “promover ações de capacitação e profissionalização dos recursos humanos em temas
relacionados à segurança da informação”.
Questão 1
Correto
Marcar questão
Texto da questão
Com relação ao processo de elaboração e implementação da Política de Segurança da

Informação, julgue as assertivas a seguir.
I) A Política de Segurança da Informação deve ser elaborada exclusivamente pela equipe de
TI, sem participação da alta administração ou dos demais colaboradores.
II) Convém que o conjunto de Políticas de Segurança da Informação seja definido, aprovado
pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
III) É comum que a Política de Segurança da Informação apresente uma estrutura hierárquica,
onde diversos documentos de política sejam desenvolvidos tendo como base e estando em
conformidade com uma política de segurança corporativa.
IV) Procedimentos de rotina na organização como atualização de antivírus, política de senha,

uso de e-mail e organização da mesa de trabalho são aspectos abordados no conjunto que
integra a Política de Segurança da Informação.
Feedback
A assertiva I está incorreta porque a elaboração da Política de Segurança da Informação não

deve ficar a cargo somente dos colaboradores da área de TI, ela deve envolver outros
colaboradores e alta administração também.
Questão 2
Correto
Marcar questão
Texto da questão
A Política de Segurança da Informação é um documento vivo, que deve acompanhar a

evolução das atividades da organização e as ameaças externas e internas.
I) A segurança da informação é uma responsabilidade de todos dentro de uma organização.

II) A cultura de segurança da informação pode ser atingida por meio de educação, treinamento
e conscientização.
III) O processo de implantação de uma Política de Segurança de Informação demanda

recursos (pessoal ou financeiro), pois envolve mudanças culturais na empresa e pode exigir a
aquisição de equipamentos, softwares ou mesmo aprimoramento de instalações físicas.
IV) A Política de Segurança da Informação é um documento estático, que não necessita de

monitoramento já que na sua elaboração já foram elencados e formalizados todos os aspectos
de segurança da informação relevantes para a organização.
Feedback
Apenas a assertiva IV está incorreta. A Política de Segurança da Informação é um documento

vivo, que deve acompanhar a evolução das atividades da organização e as ameaças externas
e internas.
Questão 3
Correto
Marcar questão
Texto da questão
Com relação à segurança física do ambiente, visando a resguardar a organização, julgue as

assertivas a seguir.
I) Deve-se restringir o acesso aos ambientes que possuem recursos de informação apenas às
pessoas que trabalham e utilizam esses ambientes.
II) Sistemas de detecção e combate a incêndio devem ser considerados, sempre objetivando,

em primeiro lugar, a segurança da informação.
III) Nem todos os aspectos relacionados à segurança física do ambiente precisam ser

implementados, mas eles devem ser ao menos avaliados quanto a sua necessidade de
implementação.
IV) Embora nem sempre seja possível escolher a vizinhança, deve-se procurar ao menos
monitorá-la, pois se uma organização vizinha não tomar as devidas providências com relação a
sua proteção física, isso pode impactar diretamente sua organização.
d. Apenas as assertivas I, III e IV estão corretas.
Feedback
Apenas a assertiva II está incorreta. Nos sistemas de combate e detecção de incêndio deve-se
prezar pela vida, antes da segurança da informação.
Questão 4
Correto
Marcar questão
Texto da questão
No controle lógico de acesso à informação alguns aspectos devem ser considerados. Nesse
contexto, julgue as alternativas a seguir a marque a correta.

a. A segurança dos aplicativos envolve não somente o código executável, mas também o seu
código-fonte.
b. Os logs registram as atividades de sistemas e usuários e são importantes para identificar
comportamentos de usuários e programas, mas não têm muito uso para investigar tentativas de
invasões.
c. O controle lógico de acesso à informação é uma atividade simples e pouco ligada a
tecnologias.
d. Os sistemas operacionais, por serem softwares robustos e complexos, não necessitam de
atualizações após suas instalações.
e. É uma boa prática o compartilhamento de um nome de usuário de sistema com mais de um
colaborador, pois essa abordagem facilita o gerenciamento de identificação e autenticação nos
sistemas.
Feedback
b) Incorreta. Os logs são muito importantes para analisar as tentativas de invasão.
c) Incorreta. O controle lógico de acesso à informação é uma atividade complexa e muitas

tecnologias estão envolvidas em seu gerenciamento e proteção, sendo algumas delas:
Criptografia, infraestrutura de chave pública, VPN, antivírus, filtragem de conteúdo, sistemas de

detecção de intrusão, respostas a incidentes, backups, entre diversas outras.
d) Incorreta. Frequentemente surgem vulnerabilidades que são exploradas pelos atacantes nos
sistemas operacionais e, ao tomarem conhecimento, os fabricantes dos sistemas operacionais
disponibilizam atualizações para impedir os ataques. Portanto, é importante mantê-lo sempre
atualizado.
e) Incorreta. A identificação do usuário deve ser única.
Questão 5
Correto
Marcar questão
Texto da questão
O Estado brasileiro possui uma regra própria de classificação da informação, regida pela Lei nº
12.527, de 18 de novembro de 2011. Essa Lei determina três graus de sigilo da informação em
seu Art. 24.
Assinale a alternativa que corresponde a esses três graus de sigilo.
a. Secreto, indisponível e reservado.
b. Reservado, público e privado.
c. Ultrassecreto, secreto e reservado.
d. Ultrassecreto, secreto e disponível.
e. Reservado, secreto e público.
Feedback
O Estado brasileiro, por meio da Lei nº 12.527, de 18 de novembro de 2011, definiu três graus
de sigilo da informação:
- ultrassecreto.
- secreto.
- reservado.
Questão 6
Incorreto
Marcar questão
Texto da questão
Com relação à classificação da informação, julgue os itens a seguir.
I) A classificação da informação tem como objetivo assegurar que ela receba um nível
adequado de proteção, de acordo com a sua importância para a organização.
II) A classificação da informação não é o objetivo final, mas sim um meio que permitirá
tratamentos diferenciados na definição de procedimentos de gestão da informação.
III) O processo de classificação da informação não pode simplesmente definir níveis simples
como “informação privada” e “informação pública”.
IV) Cada nível em que uma informação é classificada demandará um nível de controle de
acesso distinto. E esses controles deverão existir por todo o ciclo de vida da informação que
compreende seu: manuseio, armazenamento, transporte e descarte.
a. Apenas as assertivas I, II e IV estão corretas.
Feedback
Apenas a assertiva III está incorreta: a depender do tipo da organização e controle que ela
deseja implementar, é possível que a classificação da informação se dê em apenas dois níveis,
como, por exemplo, “pública” e “privada”.
Questão 7
Correto
Marcar questão
Texto da questão
Para uma organização, ter um Plano de Continuidade de Negócio (PCN) desenvolvido e

implementado seguindo critérios e metodologias aderentes aos seus negócios é algo de grande
importância atualmente. Com relação aos objetivos principais do Plano de Continuidade de
Negócios, julgue as assertivas a seguir.
I) O PCN contribui para melhorar proativamente a resiliência da organização contra possíveis
interrupções de sua capacidade em atingir seus principais objetivos.
II) O PCN contribui para prover uma prática para restabelecer a capacidade de uma
organização fornecer seus principais produtos e serviços, em um nível previamente acordado,
dentro de um tempo previamente determinado após uma interrupção.
III) O PCN não contribui para obter reconhecida capacidade de gerenciar uma interrupção no
negócio, de forma a proteger a marca e reputação da organização.
IV) O PCN deve trabalhar com o aspecto preventivo, ou seja, buscando minimizar as chances
de um evento crítico ocorrer e, no caso de falha dessa prevenção (já que nem todas as
prevenções dependem apenas da organização), um plano de recuperação deverá ser colocado
em prática.
b. Apenas as assertivas I, II e IV estão corretas.
e. Apenas as assertivas I e III estão corretas.
Feedback
Apenas a assertiva III está incorreta. O PCN não contribui para obter reconhecida capacidade
de gerenciar uma interrupção no negócio, de forma a proteger a marca e reputação da
organização.
Questão 8
Incorreto
Marcar questão
Texto da questão
A depender do porte da organização, algumas etapas para estruturação do plano de

continuidade de negócios podem ter mais relevância que as demais, no entanto, todas devem
ser analisadas criteriosamente quanto à sua necessidade. Com relação a essas etapas, julgue
as assertivas a seguir.
I) A primeira etapa é a definição de escopo. Para que o projeto de implantação do plano se
concretize, é necessário definir um escopo factível de ser alcançado, podendo, inclusive, deixar
áreas da organização de fora do plano de continuidade de negócios.
II) A etapa de análise de risco não é pontual: a organização deve criar um processo de análise
de risco, colocá-lo em prática e mantê-lo em funcionamento.
III) Na etapa análise de impacto no negócio não é indicada a participação das áreas de

negócio da organização, pois elas têm o conhecimento para indicar o tempo máximo de
indisponibilidade aceito.
IV) A etapa de definição das estratégias de continuidade de negócio deve considerar aspectos

de continuidade relativos a pessoas, instalações, serviços de tecnologia, informação,
suprimentos e relações com partes interessadas.
Feedback
Apenas o item III está incorreto: Um dos principais pressupostos da análise de impacto no
negócio é que há bastante dependência entre os processos de uma organização e alguns têm
mais importância do que outros. Assim, manter os processos prioritários será o objetivo durante
uma situação de contingência.
Com a análise dos processos, deve-se identificar qual o tempo que seria tolerável de
interrupção e calcular potenciais impactos e infraestrutura mínima de contingência. Esta etapa
exige ampla participação das áreas de negócio da organização, pois elas têm o conhecimento
necessário para indicar o tempo máximo de indisponibilidade aceito.
Questão 9
Correto
Marcar questão
Texto da questão
Com relação à conscientização e treinamento das pessoas dentro de uma organização quanto
à importância da implementação e manutenção de uma Política de Segurança da Informação,
julgue os itens a seguir, marcando a opção correta.
a. As falhas humanas não podem comprometer as diretrizes de segurança da informação.
b. Um funcionário, fora do ambiente de trabalho, relatar a outras pessoas desconhecidas

detalhes de um novo produto que a empresa vai lançar não pode ser considerada uma falha de
segurança da informação.
c. A aquisição e implementação das tecnologias mais avançadas de segurança da informação

é suficiente para o sucesso da Política de Segurança da Informação.
d. Todos os colaboradores de uma organização devem conhecer o seu papel dentro dela e
saber a importância das informações que ela detém e isso é alcançado com treinamentos e
conscientização.
e. No âmbito da Administração Pública Federal não há interesse em promover ações de

capacitação e profissionalização dos seus recursos humanos com relação a segurança da
informação, visto que esse seria um custo elevado e sem retorno.
Feedback
a) Incorreta. As falhas humanas podem comprometer as diretrizes de segurança da

informação.
b) Incorreta. É um exemplo de um funcionário que não conhece a importância da informação

para a empresa, ou seja, falta de conscientização.
c) Incorreta. Não basta somente investimento em compra e implementação de tecnologias

voltadas à segurança da informação, é necessário também treinamento e conscientização dos
recursos humanos, bem como um bom Plano de Segurança da Informação.
e) Incorreta. Há, no âmbito da Administração Pública Federal, o interesse no treinamento e

conscientização de seus colaboradores. Um exemplo disso é o Decreto nº 9.637, de 26 de
dezembro de 2018, que define que “Órgãos e entidades da administração pública federal”
devem “promover ações de capacitação e profissionalização dos recursos humanos em temas
relacionados à segurança da informação”.
MODULO 3
Questão 1
Correto
Marcar questão
Texto da questão
Com relação aos mecanismos de segurança de acesso aos dados de uma organização, julgue
os itens a seguir.
I) Os acessos mal intencionados aos dados podem ser classificados como passivo ou ativo.
No primeiro os dados são apenas capturados, sem alteração. No segundo, os dados são
alterados ou mesmo tornados indisponíveis.
II) Existem diversas maneiras de se autenticar um usuário para acessar um sistema ou mesmo

um ambiente dentro de uma organização. Esses métodos podem se apoiar em pilares para a
autenticação: no que o usuário sabe, no que ele tem ou no que ele é. Esses métodos podem,
inclusive, serem combinados para se alcançar um nível maior de segurança.
III) Existem duas grandes classes de algoritmos de criptografia: simétricos e assimétricos. Nos

simétricos é utilizada a mesma chave para cifrar e decifrar os dados, enquanto no assimétrico é
utilizada uma chave pública para cifrar e uma chave privada para decifrar.
IV) As Redes Privadas Virtuais (VPNs) utilizam diversas medidas de segurança para criar
canais seguros de comunicação em ambientes públicos, como encontramos na Internet.
Feedback
Todas os itens estão corretos.

Questão 2
Correto
Marcar questão
Texto da questão
Com relação ao conceito de dado sensível e sua segurança, julgue os itens a seguir.
I) A definição do que é um dado sensível depende do contexto em que ele está inserido.
II) No contexto da LGPD (Lei Geral de Proteção de Dados), dado pessoal sensível é dado
pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato
ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
III) Os dados sensíveis de uma organização são somente os e-mails e os que são
armazenados nos bancos de dados e que podem ser acessados por meio de sistemas de
informação. Arquivos de usuários como planilhas e fotos não são considerados dados
sensíveis.
IV) A existência de legislações sobre acesso, uso, manipulação e disponibilização de dados

não afeta o modo como uma organização define e protege os dados considerados sensíveis.
Feedback
Os itens III e IV estão incorretos, pois no item III:os dados potencialmente sensíveis estão
armazenados das mais diversas maneiras, mas principalmente no formato digital, seja ele na
forma de planilha, documento de texto, e-mail, banco de dados local ou mesmo na nuvem e no
item IV: As organizações devem estar atentas às legislações que tratam sobre acesso, uso,
manipulação e disponibilização de dados, assim como a definição do que é considerado dado
sensível (vide exemplo da LGPD).
Questão 3
Correto
Marcar questão
Texto da questão
Com relação ao conceito de uso de computação em nuvem e seus aspectos de segurança,

julgue os itens a seguir.
I) Computação em Nuvem pode ser definida como um paradigma para permitir o acesso via
rede a um pool escalável e elástico de recursos físicos ou virtuais compartilháveis com
provisionamento de autoatendimento e administração sob demanda.
II) Entre as vantagens existentes para a organização com o uso da computação em nuvem

podemos citar: acessibilidade, terceirização de gerenciamento de recursos de TI, baixo
investimento inicial e uso de recursos sob demanda.
III) Quando uma organização contrata um serviço de computação em nuvem ela deixa de ter
responsabilidade sob a segurança dos dados, que passam a ser de inteira responsabilidade do
provedor do serviço de nuvem.
IV) Migrar para a computação em nuvem deixa a segurança dos dados comprometida, já que a
organização não poderá exigir os requisitos de segurança da informação que deseja.
b. Todas as assertivas estão corretas.
e. Apenas as assertivas I e II estão corretas.
Feedback
Item III (incorreta). Em todos os modelos de uso da computação em nuvem tanto o provedor de
serviço quanto a organização contratante são responsáveis pela segurança da informação. A
depender do modelo escolhido essa responsabilidade pode ser maior ou menor a cada um dos
lados.
Item IV (incorreta). A migração para a computação em nuvem deve ser feita analisando-se a
empresa contratada, que deve fornecer detalhes de como os dados serão armazenados e os
cuidados com a segurança. É bastante comum os provedores de serviço buscarem processo
de certificação, para garantir que cumprem os requisitos de segurança da informação. Portanto,
em se tratando de provedores de serviço que levam a segurança da informação a sério, migrar
para a computação em nuvem não corresponde a comprometer a segurança dos dados da
organização.
Questão 4
Correto
Marcar questão
Texto da questão
Com relação às Políticas de Controle de Acesso, julgue os itens a seguir.
I) A norma ISO/IEC 27002 indica que há necessidade de controle de acesso à informação e
que esse controle seja determinado pelos proprietários dos ativos.
II) Uma das premissas da gestão de acesso do usuário é prevenir que ativos sejam acessados
por usuários não autorizados e, ao mesmo tempo, garantir que sejam acessados somente por
usuários autorizados.
III) Os usuários são responsáveis por salvaguardar suas informações de autenticação

mantendo-as seguras e não compartilhando com terceiros.
IV) É indicado que quando um usuário deixar a organização seu usuário seja removido ou
desabilitado.
d. Apenas as assertivas II e III estão corretas.

e. Apenas as assertivas I e II estão corretas.
Feedback
Todas estão corretas.
MODULO 4
Questão 1
Com relação aosfundamentos de Gestão de Riscos, julgue os itens a seguir.

I) Uma maneira simples e intuitiva de se medir o risco é por meio da fórmula: “Risco =
Probabilidade x Consequência”. No entanto, as variáveis “Probabilidade” e “Consequência”,
nem sempre estão facilmente disponíveis.
II) A “Matriz de Probabilidade e Impacto” é uma versão mais detalhada da “Matriz de Riscos”.
III) A “Matriz de Riscos” é uma maneira simples e efetiva de classificação de riscos.
IV) A identificação do risco e seu posterior tratamento faz parte da “Gestão de Risco”.
c. Apenas as assertivas I, III e IV estão corretas.
Questão 2
Com relação à fase de tratamento de riscos na gestão de riscos, julgue os itens a seguir.
I) O Tratamento de Risco é a fase da gestão de riscos onde a organização tem que decidir
entre reduzir, reter, evitar, transferir ou aceitar o risco.
II) A etapa de Tratamento de Risco recebe como entrada uma lista com a priorização dos
riscos, ou seja, a organização já realizou uma análise dos cenários de risco e ponderou cada
um deles.
III) Selecionar a opção mais adequada de tratamento de riscos envolve equilibrar os custos e
os esforços de implementação com os benefícios decorrentes, levando-se em conta requisitos
legais, regulatórios ou quaisquer outros, tais como o da responsabilidade social e o da proteção
do ambiente natural.
IV) A Transferência do Risco é o compartilhamento com uma outra entidade do ônus da perda
ou do benefício do ganho associado a um risco.
V) No tratamento de riscos são aplicados vários controles e mecanismos para os riscos
identificados e um novo tipo de risco é produzido, o chamado risco residual.
VI) O ato do registro formal da decisão pelo aceite dos riscos residuais na organização é a
chamada Aceitação do Risco.

Questão 3
a. Os riscos a que uma organização está submetida são estáticos, já que, uma vez definidos,
dificilmente necessitam de revisão.
b. As atividades de monitoramento e análise crítica são essenciais e são realizadas apenas na
fase de definição de definição de escopo do processo de gestão de riscos.
c. Não há necessidade de se definir na política de gestão de riscos os responsáveis pelo

monitoramento e análise crítica, já que essas atividades são sempre executadas por todos os
colaboradores da organização.
d. A Transformação Digital não tem influenciado o processo de monitoramento e análise crítica
de riscos.
e. Todos os tipos de eventos de segurança que foram vivenciados pela organização devem ser
analisados, mesmo que as ações tomadas em resposta a eles tenham sido eficazes. O objetivo
é verificar se tais ações poderiam ser melhoradas e até qual nível de incidente elas se
manteriam eficazes.

Curso Evg - Segurança Da Informação

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Curso Evg - Segurança Da Informação

Enviado por

Direitos autorais:

Formatos disponíveis

MODULO 1

Avaliar 25,00 de um máximo de 25,00(100%)

Com relação a alguns termos utilizados na Segurança da Informação¸ assinale a alternativa

Escolha uma opção:

a. Dado é a informação apresentada de forma estruturada.

b. Informação é o dado que possui valor para o contexto de quem recebe.

c. Dado e informação possuem o mesmo valor agregado dentro de uma organização.

Sua resposta está correta.

a) Incorreta. A informação é o dado apresentado de forma estruturada.

e) Incorreta. Inteligência é o conhecimento sintetizado, feito por meio da experiência e intuição

A Segurança da Informação tem como objetivo a “preservação da confidencialidade, da

Assinale a alternativa correta.

Escolha uma opção:

d. Integridade é um atributo que visa a garantir que a informação armazenada ou transferida

Sua resposta está correta.

a) Incorreta. Na confidencialidade a informação deve ser acessível exclusivamente a usuários

b) Incorreta. Ao se alcançar a disponibilidade da informação a sua confidencialidade não é

e) Incorreta. Somente os atributos de autenticidade, conformidade e não-repúdio não permitem

A Política Nacional de Segurança da Informação – PNSI, instituída por meio do DECRETO Nº

Marque a alternativa que contenha todas essas finalidades.

Escolha uma opção:

a. Confidencialidade, autenticidade, disponibilidade e integridade.

b. Não-repúdio, autenticidade, disponibilidade e integridade.

c. Integridade, conformidade e disponibilidade.

Sua resposta está correta.

As finalidades elencadas na Política Nacional de Segurança da Informação – PNSI em seu

Com relação a conceito de ativo e sua classificação, assinale a alternativa correta.

Escolha uma opção:

b. Ativo é tudo que tenha valor para uma organização.

Sua resposta está correta.

Com a alta conectividade e maior complexidade dos sistemas de informação, tem-se

Escolha uma opção:

a. Uma forma de implementação de mecanismo de segurança bastante difundida nas

b. Uma boa prática na segurança de sistemas de informação é primeiramente colocá-lo em

Sua resposta está correta.

I) Transformação digital são as mudanças associadas à aplicação da tecnologia digital em

IV) Transformação digital uma estratégia organizacional formulada e executada aproveitando

Assinale a alternativa correta.

Escolha uma opção:

a. Todas as assertivas estão incorretas.

b. Apenas as assertivas I e II estão corretas.

c. Apenas as assertivas II e IV estão corretas.

d. Todas as assertivas estão corretas.

e. Apenas as assertivas I, II e III estão corretas.

Sua resposta está correta.

I) Identificar novas formas de comunicação com o cliente está relacionado à área-chave

II) A área-chave “Modelo de Negócios” está relacionada à identificação de novos modelos de

IV) A transformação digital não está relacionada a sobrevivência de um negócio, não

Assinale a alternativa correta.

Escolha uma opção:

a. Apenas as assertivas I, II e III estão corretas.

b. Apenas as assertivas I e II estão corretas.

c. Todas as assertivas estão corretas.

d. Apenas as assertivas II e IV estão corretas.

e. Todas as assertivas estão incorretas.

Sua resposta está correta.

Apenas a assertiva IV está incorreta: em muitos tipos de negócios a transformação digital é

Com relação às ameaças aos Sistemas de Informação, no contexto da transformação digital,

Escolha uma opção:

c. No ataque distribuído de negação de serviço (DDos, em inglês) o objetivo é sobrecarregar

Sua resposta está correta.

d) Incorreta. O ataque chamado “Smishing” consiste em enviar SMS à vítima, induzindo-a a

e) Incorreta. Os antivírus atualizados não podem impedir que um funcionário entregue