Segurança e Auditoria de Sistemas

10/11/2018 Exercício de Fixação 1 (E1)
Segurança e Auditoria de Sistemas

Painel / Minhas disciplinas / Segurança e Auditoria de Sistemas / Exercício de Fixação 1
/ Exercício de Fixação 1 (E1)
Atividade anterior Próxima atividade
Iniciado em
sábado, 10 Nov 2018, 23:50
Estado
Finalizada
Concluída em
sábado, 10 Nov 2018, 23:51
Nota
2,00 de um máximo de 10,00(20%)
https://saladeaula.fael.edu.br/mod/quiz/review.php?attempt=8224173&cmid=228586 1/11
Questão 1 
Correto
Assinale a alternativa que corresponde à etapa de uso, dentro do ciclo de

vida da informação:
Escolha uma:
a. A informação é conservada para futura utilização.
b. Quando é gerado valor agregado à informação.

 O ciclo de vida da informação é composto de seis etapas: obtenção,
tratamento, armazenamento, distribuição, uso e descarte. O uso é a etapa mais
importante, pois é quanto é gerado valor agregado à informação, podendo gerar
informações gerenciais que podem ser utilizadas para tomadas de decisões, entre
outros propósitos. Fonte: Cap 1, pag. 9,10
c. A informação é criada, ou obtida através de uma fonte externa.
d. Quando é realizado algum tipo de organização ou formatação da

informação.
e. Quando é realizado o expurgo de informações.
A resposta correta é: Quando é gerado valor agregado à informação.. 
Questão 2 
Incorreto
O desenvolvimento de uma política de segurança da informação é realizado

em quatro etapas principais. Assinale a alternativa que corresponde à fase
de levantamento de informações:
Escolha uma:
a. É a efetiva implantação das políticas, normas e procedimentos através de

preparação de material promocional, divulgação constante, conscientização
das responsabilidades, realização de palestras de modo que todo o público-
alvo possa compreender e ser convencido a segui-las.
b. É a fase de mudança de cultura que inclui comportamentos que

comprometem a segurança da informação.
 A primeira fase para o desenvolvimento e implementação das políticas,
normas e procedimentos de segurança da informação em uma organização é a fase
de levantamento de informações. Não há como prosseguir para as outras fases sem
o entendimento completo sobre o ambiente, regras de negócio e processos de uma
organização. Fonte: Cap 1, pag. 11
c. É nesta fase que serão formalizados os procedimentos junto à alta

administração.

d. Nesta fase serão obtidas informações iniciais sobre os ambientes de

negócios, bem como o entendimento das necessidades e uso dos recursos
tecnológicos nos processos da instituição.
e. Fase que envolve aspectos como a classi cação das informações,

atribuição de regras e responsabilidades e, descrição de procedimentos
que envolvem a TI como um todo.
A resposta correta é: Nesta fase serão obtidas informações iniciais sobre os

ambientes de negócios, bem como o entendimento das necessidades e uso dos
recursos tecnológicos nos processos da instituição..
Questão 3 
Incorreto
Quanto aos conceitos complementares de Segurança da Informação,

considere as a rmações, analise sua veracidade (V = VERDADEIRO ou F =
FALSO) e assinale a alternativa correspondente:
(__) Ativo de informação: É a própria informação somada a qualquer

componente que a sustenta ou se utiliza dela.
(__) Ataque: São os meios utilizados para resolução das vulnerabilidades.
(__) Vulnerabilidade: É o ponto fraco de um ativo.
(__) Ameaça: É a exploração de uma falha por um agente.
(__) Controle: São os meios utilizados para resolução das vulnerabilidades.
Escolha uma:
a. V,V,V,V,V
b. V,F,V,F,V
c. V,F,V,V,F
 A alternativas I, III e V são verdadeiras. A alternativa II é falsa pois o ataque é a
exploração de uma falha por um agente. A alternativa IV é falsa pois a ameaça é a 
iminência de um ataque, caracterizado pela exposição de uma vulnerabilidade a um
meio hostil. Fonte: Cap 1, pag. 5,6
d. F,F,V,F,V
e. F,F,V,F,V
A resposta correta é: V,F,V,F,V.
Questão 4 
Incorreto
O estudo de impactos faz parte de um plano diretor de segurança, que tem

como objetivo montar um mapa de relacionamento e dependência entre
processos de negócio, aplicações e infraestrutura física, tecnológica e
humana. É realizada uma análise para cada aspecto da segurança da
informação (CIDAL – Con dencialidade, Integridade, Disponibilidade,
Autenticidade e Legalidade). Os níveis de impacto são classi cados em cinco
níveis. Considerando a sequência do menor impacto para o maior impacto,
assinale a alternativa que corresponde à sequência correta:
Escolha uma:
a. Não-considerável, importante, relevante, crítico e vital.
b. Vital, crítico, importante, relevante e não-considerável.

 Tema: Estudo de impactos (análise CIDAL), opção (D). Os níveis de impacto são
classi cados do menor impacto, ou seja, quando um processo de negócio é afetado
por um incidente de segurança e este incidente não representa prejuízo à atividade
produtiva, até o nível vital, quando um incidente afeta a organização de tal maneira
que pode levar à falência da mesma. Fonte: Cap 1, pag. 16,17
c. Relevante, não-considerável, importante, vital e crítico. 
d. Não-considerável, relevante, importante, crítico e vital.
e. Importante, crítico, vital, não considerável e relevante.
A resposta correta é: Não-considerável, relevante, importante, crítico e vital..
Questão 5 
Incorreto
Sobre Sistema de Gestão de Segurança da Informação (SGSI), é INCORRETO

a rmar:
Escolha uma:
a. Se a organização tem uma necessidade simples, isto requer uma solução

simples de SGSI.
b. É o resultado da aplicação planejada de objetivos, diretrizes, políticas,

procedimentos, modelos e outras medidas administrativas que, de forma
conjunta, de nem como são reduzidos os riscos para a segurança da
informação.
 Tema: Norma NBR/ISO 27001:2013, opção (E). A aplicação do SGSI é de
fundamental importância tanto para o setor público como para o setor privado.
Fonte: Cap 2, pag. 3,4
c. A implantação de um SGSI pode contribuir muito para a garantia da

reputação de uma organização.
d. Na prática, quando uma instituição implanta a norma ISO 27001 acaba

por constituir um SGSI.

e. Um SGSI é de fundamental importância para empresas do setor privado,
porém não se aplica ao setor público.
A resposta correta é: Um SGSI é de fundamental importância para empresas do

setor privado, porém não se aplica ao setor público..
Questão 6 
Incorreto
Um dos cinco princípios do COBIT é atender as necessidades das partes

interessadas. Assinale a alternativa que corresponde ao conceito de partes
interessadas, ou stakeholders:
Escolha uma:
a. Pessoas que devem colaborar e trabalhar em conjunto a m de garantir

que a TI esteja inclusa na abordagem de governança e gestão.
b. Pessoas ou grupos que possuem investimento ou interesse no negócio.
c. Grupo responsável pela governança e o gerenciamento de informações

de uma organização.
 Tema: Princípios do COBIT, opção (A). O termo inglês stakeholders é muito
utilizado no COBIT e outras normas, no sentido original da palavra stake signi ca
interesse ou participação, e holder signi ca aquele que possui. Podem ser pessoas
ou organizações afetadas diretamente pelos projetos e processos de uma empresa.
Fonte: Cap 2, pag. 13
d. São os gestores executivos de uma empresa.
e. Pessoas que ajudam a alcançar os objetivos da empresa. 
A resposta correta é: Pessoas ou grupos que possuem investimento ou interesse

no negócio..
Questão 7 
Incorreto
As normas da família ISO 27000 herdaram a padronização instituída na

década de 1990 pela norma:
Escolha uma:
a. IEEE 802.1
 Tema: Introdução às normas e padrões de segurança da informação, opção
(D). A padronização para a área de segurança da informação foi iniciada pelo BSI
(British Standard Institute) com a criação da norma BS7799 na década de 1990,
sendo considerado o mais completo padrão para o gerenciamento da segurança da
informação no mundo. Fonte: Cap 2, pag. 2
b. ISO 9001
c. BS7750
d. ISO 14001
e. BS7799
A resposta correta é: BS7799.


Questão 8 
Correto
Um dos tópicos da norma NBR ISO/IEC 27001:2013 é o tópico de Avaliação

de Desempenho. Assinale a alternativa que descreve corretamente este
tópico:
Escolha uma:
a. Incentiva a melhoria contínua através de constantes ações corretivas.
b. Referências indispensável para a aplicação da norma.
c. Etapas de monitoramento, medição e análise bem como auditoria

interna e análise crítica por parte da alta administração.
 Tema: Norma NBR ISO/IEC 27001:2013, opção (C). A avaliação de desempenho,
também conhecida como avaliação de performance é uma das últimas etapas na
aplicação da norma ISO 27001, importante pelo seu caráter crítico da aplicabilidade
da norma. Fonte: Cap 2, pag. 8
d. Glossário completo com termos técnicos fundamentais.
e. Descreve os objetivos gerais e a aplicação da norma.

A resposta correta é: Etapas de monitoramento, medição e análise bem como
auditoria interna e análise crítica por parte da alta administração..
Questão 9 
Incorreto
Sobre a utilização de recursos de TI em uma organização, assinale a

alternativa incorreta:
Escolha uma:
a. A maioria dos incidentes de segurança da informação ocorrem no

ambiente interno das organizações.
b. Cabe à equipe de TI disponibilizar aos colaboradores (funcionários ou

terceiros) somente os recursos tecnológicos que irão auxiliá-los no
desempenho de suas funções e execução de seus trabalhos.
 Tema: Utilização dos recursos de TI, opção (D). Os usuários nais não devem
ter acesso privilegiado para instalação de aplicativos em suas estações de trabalho,
visto que tal prática por representar riscos, como a instalação de malwares, pois o
usuário nal não possui, via de regra, conhecimento técnico su ciente para evitar
tais incidentes. Fonte: Cap 3, pag. 1
c. Os usuários nais devem ter acesso privilegiado para instalação de

softwares, visto que tal prática não representa risco signi cativo à
segurança da informação.
d. É de fundamental importância que a organização possua uma política de 

utilização dos recursos de TI bem de nida.
e. Os colaboradores da instituição devem ter ciência de que o uso dos

recursos tecnológicos deve ser feito apenas para atividades diretamente
relacionadas aos negócios da organização.
A resposta correta é: Os usuários nais devem ter acesso privilegiado para

instalação de softwares, visto que tal prática não representa risco signi cativo à
segurança da informação..
Questão 10 
Incorreto
Quanto ao ITIL, considere as a rmações, analise sua veracidade (V =

VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente:
Esta biblioteca teve início nos anos 1990, quando o governo suíço percebeu
a necessidade de melhorar os seus serviços de TI.
É o padrão atual da indústria para implantar o gerenciamento de serviços de

TI.
A ITIL organiza os processos para o gerenciamento dos serviços de TI por

meio de um ciclo de vida de serviços.
A ITIL é descrita em três componentes básicos: núcleo do ITIL, guias

complementares e guias de gestão e governança de TI.
Escolha uma:
a. F,V,V,F
b. F,V,F,V
 Introdução ao ITIL, opção (C). A alternativas II e III são verdadeiras. A alternativa
I é falsa pois foi o governo britânico que iniciou tal padronização. A alternativa IV é
falsa pois a ITIL é descrita em dois componentes básicos: núcleo do ITIL e guias 
complementares.Fonte: Cap 2, pag. 16
c. V,V,F,F
d. V,V,V,F
e. V,F,V,F
A resposta correta é: F,V,V,F.

Iniciado em
sábado, 10 Nov 2018, 23:52
Estado
Finalizada
Concluída em
sábado, 10 Nov 2018, 23:53
Nota
4,00 de um máximo de 10,00(40%)
Questão 1 
Incorreto
A con dencialidade é um dos pilares básicos da Segurança da Informação.

Assinale a alternativa que corresponde ao seu conceito:
Escolha uma:
a. É a capacidade de provar que um usuário foi responsável por

determinada ação.
b. É a garantia de que a informação armazenada é verdadeira e não está

corrompida.
 Tema: Pilares de segurança da informação, opção (E) A con dencialidade
refere-se à proteção da informação, no sentido de que somente quem é autorizado
a acessá-la deve fazê-lo. Fonte: Cap 1, pag. 4
c. É a propriedade que garante que a informação está de acordo com a

legislação pertinente.
d. É o conceito de que determinadas informações só podem ser acessadas

por quem é de direito conhecê-las.
e. É a propriedade de que a informação deve estar disponível sempre que

alguém autorizado, no exercício de suas funções, necessitar dela. 
A resposta correta é: É o conceito de que determinadas informações só podem

ser acessadas por quem é de direito conhecê-las..
Questão 2 
Incorreto
Um dos conceitos fundamentais de segurança da informação está

relacionado ao nível de abstração, ou seja, o aumento da capacidade de
subtrair detalhes, de modo que possamos visualizar algo de forma mais
concisa. Assinale a alternativa que apresenta a ordem correta, do menor
nível de abstração até o maior nível:
Escolha uma:
a. Informação, dados, conhecimento.
b. Dados, conhecimento, informação.
c. Conhecimento, informação, dados.

 Conceitos básicos de segurança da informação, opção (C) À medida que o nível
de abstração aumenta, é gerado valor agregado sobre os dados brutos,
transformando-se em informação, e posteriormente em conhecimento. Fonte: Cap
1, pag. 1,2
d. Dados, informação, conhecimento.
e. Informação, conhecimento, dados.


A resposta correta é: Dados, informação, conhecimento..
Questão 3 
Correto
A implantação de uma política de segurança da informação em uma

organização apresenta benefícios a curto, médio e longo prazo. Assinale a
alternativa que corresponde ao benefício de longo prazo:
Escolha uma:
a. Padronização dos procedimentos e conformidade com padrões de

segurança (normas ISO/IEC).
b. Retorno do investimento por meio de redução de problemas e

incidentes.
 Divulgação, características e benefícios da política de segurança da informação
Gabarito comentado: opção (D), O retorno do investimento por meio de redução de
problemas e incidentes de segurança só pode ser obtido após um longo período de
implementação e uso da política de segurança da informação em uma organização.
c. Redução imediata de probabilidade de ataques a ativos de informação.
d. Implantação de controles para resolução de vulnerabilidades
e. Maior segurança nos processos, através da implementação de novos 

procedimentos e prevenção de acessos não autorizados.
A resposta correta é: Retorno do investimento por meio de redução de

problemas e incidentes..
Questão 4 
Incorreto
Quanto à classi cação dos ativos da informação, assinale a alternativa que

apresenta somente ativos da informação que pertencem ao tipo físico de
natureza do ativo:
Escolha uma:
a. Equipamentos de comunicação, sistemas operacionais e aplicativos.
b. Sistemas operacionais, servidores, desktops e notebooks.
c. Empregados, ferramentas de desenvolvimento, planos de continuidade.

 Os ativos da informação são a própria informação somada a qualquer
componente que a sustenta ou se utiliza dela. Este componente pode ser humano,
tecnológico, hardware, software, entre outros. O grupo de ativos cuja natureza é
física engloba somente objetos físicos que sustentam a informação. Fonte: Cap 1,
pag. 7,8
d. Contratos, empregados e sistemas operacionais.
e. Mídias magnéticas, impressoras e desktops.

A resposta correta é: Mídias magnéticas, impressoras e desktops..
Questão 5 
Correto
Um dos tópicos da norma NBR ISO/IEC 27002:2013 é o tópico de Aquisição,

Desenvolvimento e Manutenção de Sistemas. Assinale a alternativa que
descreve corretamente este tópico:
Escolha uma:
a. Engloba a identi cação dos ativos da organização e de ne as

responsabilidades apropriadas para a proteção dos mesmos.
b. Evidencia que é necessário garantir que a segurança da informação é

parte integrante de todo o ciclo de vida dos sistemas de informação.
 Tema: Norma NBR ISO/IEC 27002:2013, opção (D). Os controles descritos no
tópico de aquisição, desenvolvimento e manutenção de sistemas deixam claro que
a integração com o ciclo de vida completo de sistemas é parte fundamental da
aplicação da norma em uma organização. Fonte: Cap 2, pag. 10
c. Nesta seção são abordados aspectos de orientação para assegurar o uso

efetivo e adequado da criptogra a.
d. Engloba a identi cação dos ativos da organização e de ne as


e. O acesso físico às instalações e à infraestrutura de apoio deve ser
monitorizado e restrito.
A resposta correta é: Evidencia que é necessário garantir que a segurança da

informação é parte integrante de todo o ciclo de vida dos sistemas de
informação..
Questão 6 
Incorreto
Sobre o “Anexo A” da norma NBR ISO/IEC 27001:2013, assinale a a rmativa

correta:
Escolha uma:
a. Trata-se de um glossário completo com termos técnicos fundamentais

para o entendimento da norma.
b. Trata-se de um guia para obter a certi cação da norma ISO 27001.

 Tema: Norma NBR/ISO 27001:2013, opção (A). O Anexo A da ISO 27001
apresenta forte relacionamento com a norma ISO 27002. Neste anexo os controles
são apresentados em apenas uma frase, porém na norma ISO 27002 os mesmos
controles são detalhados em páginas inteiras. Fonte: Cap 2, pag. 9
c. Trata-se da descrição detalhada de como implementar um Sistema de

Gestão de Segurança da Informação (SGSI).
d. Trata-se da descrição de controles com os mesmos nomes dos controles

da norma ISO 27002.
e. Trata-se do detalhamento da abordagem Plan-Do-Check-Act (PDCA).


A resposta correta é: Trata-se da descrição de controles com os mesmos nomes
dos controles da norma ISO 27002..
Questão 7 
Correto
Quanto à norma NBR/ISO 27002:2013, considere as a rmações, analise sua

veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa
correspondente:
O objetivo desta norma é prover um modelo para estabelecer, implementar,

operar, monitorar, analisar criticamente, manter e melhorar um Sistema de
Os controles presentes no Anexo A da ISO 27001 são detalhados na ISO

27002.
Adota o modelo conhecido como Plan-Do-Check-Act (PDCA).
A certi cação é feita para pessoa física.
Escolha uma:
a. F,V,V,V
b. F,V,F,V
 Tema: Norma NBR/ISO 27002:2013, opção (C). A alternativas II e IV são
verdadeiras. A alternativa I é falsa pois a tarefa prover um modelo para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI 
cabe à ISO 27001. A alternativa III é falsa pois o modelo PDCA é adotado na ISO
27001. Fonte: Cap 2, pag. 8,9,10
c. F,V,V,F
d. V,F,V,V
e. F,F,V,F
A resposta correta é: F,V,F,V.
Questão 8 
Incorreto
De forma a reunir diversas normas de segurança da informação, a ISO criou

a série 27000. As duas principais normas desta família, e mais amplamente
utilizadas, são as normas:
Escolha uma:
a. ISO 27001 e ISO 27009
b. ISO 27009 e ISO 27013

 Tema: Introdução às normas e padrões de segurança da informação, opção (E).
A norma ISO 27001 é a principal norma que uma organização deve utilizar como
base para obter a certi cação empresarial em gestão da segurança da informação
sendo a única norma internacional que de ne os requisitos para um Sistema de
Gestão de Segurança da Informação (SGSI) e a ISO 27002 é um conjunto completo
de controles que auxiliam a aplicação do SGSI. Fonte: Cap 2, pag. 2
c. ISO 27001 e ISO 27002
d. ISO 27009 e ISO 27017
e. ISO 27007 e ISO 27009


A resposta correta é: ISO 27001 e ISO 27002.
Questão 9 
Incorreto
Quanto à titularidade das informações em um ambiente corporativo,

Dentro do ambiente corporativo, a empresa detém os direitos sobre todos

os dados e informações armazenados nos seus ambientes computacionais.
Se o empregado for previamente avisado que o e-mail da empresa deve ser

usado apenas para ns pro ssionais, a empresa poderá monitorar o
conteúdo sem ferir as leis e normas vigentes.
Independente de aviso prévio, a empresa jamais poderá monitorar o correio

eletrônico de um funcionário, podendo a mesma responder ação judicial na
Justiça do Trabalho.
Escolha uma:
a. V,V,F
b. V,V,V
 Tema: Titularidade das informações, opção (B). A alternativas I e II são
verdadeiras. A alternativa III é falsa pois é direito da empresa monitorar o correio 
eletrônico de um funcionário, visto que à ela pertence as informações armazenadas
em seus ambientes computacionais, devendo a empresa avisar previamente e
regular o uso do email corporativo. Fonte: Cap 3, pag. 2
c. F,F,V
d. F,V,F
e. V,F,V
A resposta correta é: V,V,F.
Questão 10 
Correto
Quanto à segurança em datacenter, é correto a rmar que:
Escolha uma:
a. A segurança em datacenter é regida pela norma BS7799.
b. Possui quatro requisitos de segurança básicos, sendo eles: controle de

acesso, manutenção periódica, prostração contra danos e refrigeração do
ambiente.
 Segurança em datacenter, opção (C)Os requisitos básicos de segurança devem
ser seguidos para garantia da segurança das informações que os datacenters
armazenam. Fonte: Cap 3, pag. 3,4
c. Tornou-se obsoleto, visto que o armazenamento em nuvem substituiu a

necessidade de uso de datacenter.
d. Não é necessário o investimento maciço em segurança de datacenter,

visto que as aplicações desenvolvidas atualmente possuem mecanismos de
proteção su cientes para garantia da segurança da informação.
e. A instalação de um rewall é su ciente para garantia de segurança em

datacenter. 
A resposta correta é: Possui quatro requisitos de segurança básicos, sendo eles:

controle de acesso, manutenção periódica, prostração contra danos e
refrigeração do ambiente..

Iniciado em
sábado, 10 Nov 2018, 23:54
Estado
Finalizada
Concluída em
sábado, 10 Nov 2018, 23:57
Nota
8,00 de um máximo de 10,00(80%)
Questão 1 
Correto

natureza do ativo:
Escolha uma:
a. Mídias magnéticas, impressoras e desktops.

 Os ativos da informação são a própria informação somada a qualquer
pag. 7,8
b. Contratos, empregados e sistemas operacionais.
c. Equipamentos de comunicação, sistemas operacionais e aplicativos.
d. Empregados, ferramentas de desenvolvimento, planos de continuidade.
e. Sistemas operacionais, servidores, desktops e notebooks.

Questão 2 
Incorreto

Escolha uma:
a. Vital, crítico, importante, relevante e não-considerável.
b. Importante, crítico, vital, não considerável e relevante.
c. Não-considerável, importante, relevante, crítico e vital.

que pode levar à falência da mesma. Fonte: Cap 1, pag. 16,17 
d. Relevante, não-considerável, importante, vital e crítico.
e. Não-considerável, relevante, importante, crítico e vital.
Questão 3 
Correto

Escolha uma:
a. Fase que envolve aspectos como a classi cação das informações,

b. Nesta fase serão obtidas informações iniciais sobre os ambientes de

 A primeira fase para o desenvolvimento e implementação das políticas,

administração.

d. É a fase de mudança de cultura que inclui comportamentos que

e. É a efetiva implantação das políticas, normas e procedimentos através de


Questão 4 
Correto

Escolha uma:
a. É a propriedade que garante que a informação está de acordo com a

b. É a propriedade de que a informação deve estar disponível sempre que

alguém autorizado, no exercício de suas funções, necessitar dela.
c. É a garantia de que a informação armazenada é verdadeira e não está

corrompida.

 Tema: Pilares de segurança da informação, opção (E) A con dencialidade
e. É a capacidade de provar que um usuário foi responsável por

determinada ação. 

Questão 5 
Correto

a rmar:
Escolha uma:
a. A implantação de um SGSI pode contribuir muito para a garantia da

b. Se a organização tem uma necessidade simples, isto requer uma solução

simples de SGSI.
c. É o resultado da aplicação planejada de objetivos, diretrizes, políticas,

informação.


 Tema: Norma NBR/ISO 27001:2013, opção (E). A aplicação do SGSI é de 

Questão 6 
Correto

Escolha uma:
a. BS7750
b. BS7799
 Tema: Introdução às normas e padrões de segurança da informação, opção
c. ISO 14001
d. IEEE 802.1
e. ISO 9001


Questão 7 
Correto

correspondente:


27002.
Escolha uma:
a. F,V,V,V
b. F,V,F,V
27001. Fonte: Cap 2, pag. 8,9,10
c. V,F,V,V
d. F,V,V,F
e. F,F,V,F
Questão 8 
Correto

tópico:
Escolha uma:
a. Descreve os objetivos gerais e a aplicação da norma.
c. Incentiva a melhoria contínua através de constantes ações corretivas.
e. Etapas de monitoramento, medição e análise bem como auditoria


Questão 9 
Incorreto




Escolha uma:
a. V,V,F
b. F,V,F
c. V,F,V
d. V,V,V
e. F,F,V
Questão 10 
Correto


TI.


Escolha uma:
a. V,F,V,F
b. V,V,F,F
c. F,V,V,F
 Introdução ao ITIL, opção (C). A alternativas II e III são verdadeiras. A alternativa 
falsa pois a ITIL é descrita em dois componentes básicos: núcleo do ITIL e guias
complementares. Fonte: Cap 2, pag. 16
d. V,V,V,F
e. F,V,F,V

Iniciado em
sábado, 10 Nov 2018, 23:57
Estado
Finalizada
Concluída em
sábado, 10 Nov 2018, 23:58
Nota
3,00 de um máximo de 10,00(30%)
Questão 1 
Incorreto
Sobre tipos de backup é correto a rmar:
Escolha uma:
a. Os backups incrementais consistem em backups de todos os dados que

foram alterados desde o último backup completo.
b. Backup completo é a soma de um backup diferencial com um backup

incremental.
 Tema: Política de backup e restore.A estratégia de backups diferenciais ou
incrementais deve ser adotada de acordo com a disponibilidade de recursos e
necessidades da organização. Backups diferenciais são cópias de todos os dados
que foram alterados desde o último backup completo, diferentemente do
incremental onde são copiados apenas os dados que foram alterados desde a
última tarefa de backup. Fonte: Cap 3, pag. 18,19
c. Os backups diferenciais são mais seguros que os backups incrementais.
d. Os backups incrementais realizam apenas backup dos dados que foram

alterados desde a última tarefa de backup.
e. Os backups diferenciais realizam apenas backup dos dados que foram 

A resposta correta é: Os backups incrementais realizam apenas backup dos

dados que foram alterados desde a última tarefa de backup..
Questão 2 
Incorreto
Sobre autenticação de fator múltiplo, analise as sentenças abaixo:
I O fator de conhecimento inclui algo que o usuário sabe, como por exemplo,
uma senha.
II O fator de herança inclui algo que o usuário possui, como um token.
III O PIN é um fator de posse.
IV A biometria é um fator de herança.
Está correto o que consta em:
Escolha uma:
a. I e IV, somente.
b. IV, somente.
 Tema: Política de senhas. A alternativas I e IV são verdadeiras. A alternativa II é
falsa pois o token é um fator de posse. A alternativa III é falsa pois o PIN é um fator
de conhecimento. Fonte: Cap 3, pag. 16
c. III e IV, somente.


d. I, somente.
e. I, III e IV, somente.
A resposta correta é: I e IV, somente..
Questão 3 
Incorreto
Quanto ao desenvolvimento de aplicações seguras, dentro de um ambiente

seguro, podemos elencar algumas boas práticas de programação. Assinale a
alternativa que contém algumas destas boas práticas:
Escolha uma:
a. Operar com menos privilégio, minimizar o uso de strings inseguras e

funções de bu er, tratar entrada e saída de dados.
b. Utilizar criptogra a fraca, operar com menos privilégio, tratar entrada e

saída de dados.
c. Maximizar o uso de strings inseguras e funções de bu er, operar com

menos privilégio, evitar concatenações de strings para cláusulas de SQL
dinâmicas.
 Tema: Segurança no desenvolvimento de software.Operar com menos
privilégio auxilia na redução de danos, caso o sistema seja comprometido. A
utilização de strings inseguras e funções de bu er deve ser evitada, pois
apresentam vulnerabilidades de corrupção de memória. As entradas e saídas de
dados devem ser validadas a m de rejeitar dados em não-conformidade. Fonte:
Cap 4, pag. 7,8,9

d. Utilizar registros de acesso (log) e rastreamento, utilizar concatenações

de strings para cláusulas de SQL dinâmicas, evitar o uso de criptogra a
fraca.
e. Operar com menos privilégio, utilizar concatenações de strings para

cláusulas de SQL dinâmicas, evitar o uso de criptogra a fraca.
A resposta correta é: Operar com menos privilégio, minimizar o uso de strings

inseguras e funções de bu er, tratar entrada e saída de dados..
Questão 4 
Incorreto
Quanto à segurança no tratamento de mídias, é correto a rmar:
Escolha uma:
a. Quanto menor o nível de classi cação da informação, maior deverá ser a

garantia de que as informações não podem ser recuperadas após a
eliminação.
b. Uma das boas práticas, no caso de mídias ópticas, é a utilização de

ferramentas de formatação de baixo nível.
 Tema: Segurança no tratamento de mídias.É preciso considerar que as
informações armazenadas em mídias podem conter conteúdo con dencial,
portanto não devem ser descartadas sem o devido cuidado com a segurança da
informação. Fonte: Cap 3, pag. 24,25
c. Sempre que uma mídia de armazenamento seja descartada, deve-se

considerar o uso de procedimentos para assegurar a eliminação adequada
da informação.
d. O descarte correto de mídias é minuciosamente tratado na norma ISO

31000.

e. Não existem normas que tratam do descarte de mídias de forma segura.
A resposta correta é: Sempre que uma mídia de armazenamento seja descartada,

deve-se considerar o uso de procedimentos para assegurar a eliminação
adequada da informação..
Questão 5 
Correto
Sobre gerenciamento de riscos em segurança da informação, é correto

a rmar:
Escolha uma:
a. É um sistema de apoio à decisão para o negócio de uma organização.
b. É o padrão atual da indústria para implantar o gerenciamento de

serviços de TI.
c. É o processo que habilita os administradores a identi car, priorizar e

avaliar os custos operacionais de implantação de medidas de proteção aos
sistemas de informação, bem como os dados que dão suporte à missão de
uma organização.
 Tema: Introdução ao gerenciamento de riscos em segurança da informação.As
empresas têm percebido que a existência de riscos, sem o devido tratamento são
prejudiciais aos resultados, pois sua ocorrência pode afetar as operações do
negócio, por isto a importância do gerenciamento de riscos em uma organização.
d. É um conjunto de políticas, procedimentos e vários outros controles que

de nem as regras de segurança da informação em uma organização. 
e. É baseado em controles, para servir como referência a uma organização

que deseja ter uma governança de TI mais controlada.
A resposta correta é: É o processo que habilita os administradores a identi car,

priorizar e avaliar os custos operacionais de implantação de medidas de proteção
aos sistemas de informação, bem como os dados que dão suporte à missão de
uma organização..
Questão 6 
Incorreto
Quanto a certi cados digitais, NÃO é correto a rmar:
Escolha uma:
a. No Brasil, o órgão da autoridade certi cadora raiz é o ICP-Brasil.
b. O certi cado é assinado por alguém em quem o proprietário deposita

sua con ança, ou seja, uma autoridade certi cadora (Certi cation Authority
- CA), funcionando como uma espécie de “cartório virtual”.
 Tema: Certi cados digitais.Os certi cados digitais são emitidos pelas
Autoridades Certi cadoras (AC) e Autoridades de Registro (AR). Fonte: Cap 4, pag.
20,21
c. O certi cado digital contém, além da chave pública, informações sobre

seu proprietário, como nome, endereço e outros dados pessoais.
d. O certi cado digital só pode ser emitido por uma Autoridade

Certi cadora Raiz (AC-Raiz).
e. Existem autoridades certi cadores abaixo do ICP-Brasil, como por

exemplo Serpro, Certsign, Serasa Experian.

A resposta correta é: O certi cado digital só pode ser emitido por uma
Autoridade Certi cadora Raiz (AC-Raiz)..
Questão 7 
Correto
Quanto ao processo de assinatura digital, analise as sentenças abaixo:
I-As assinaturas digitais usam um formato padrão aceito mundialmente,

denominado Public Key Infrastructure (PKI).
II-A PKI é um sistema criptográ co simétrico.
III-Para assinar digitalmente documentos, um usuário precisa obter um par

de chaves: chave pública e chave privada, através de um certi cado digital.
IV-O receptor do documento utiliza a chave pública do emissor para

descriptografar a assinatura. Se a chave pública não puder descriptografar a
assinatura (através da comparação dos hashes), isso signi ca que a
assinatura não poderá ser validada.
Escolha uma:
a. I,II e III, apenas.
b. I, III e IV, apenas.

 Tema: Assinatura Digital.A alternativas I, III e IV são verdadeiras. A alternativa II 
é falsa pois a PKI é um sistema criptográ co assimétrico, que utiliza o par de chaves
(pública e privada). Fonte: Cap 4, pag. 21,22,23.
c. III, apenas.
d. I,II,III,IV.
e. II e IV, apenas.
A resposta correta é: I, III e IV, apenas..
Questão 8 
Incorreto
Sobre forense computacional, é correto a rmar que:
Escolha uma:
a. A área de forense computacional consiste no uso de métodos cientí cos

para preservação, coleta, validação, identi cação, análise, interpretação,
documentação e apresentação de evidência digital com validade probatória
em juízo.
b. A aplicação de metodologias forenses pode ser aplicada por qualquer

usuário leigo, não necessitando de peritos especialistas nesta área.
 Tema: Forense computacional.A ciência forense computacional é bastante
utilizada no universo jurídico, visto que trata-se de produção de provas em ações
cíveis e criminais. Fonte: Cap 4, pag. 24
c. A área de forense computacional não possui ligação com crimes

cibernéticos, sendo restrita somente a incidentes de segurança que não
envolvam quebra de leis.
d. Não é possível recuperar informações a partir de fragmentos de

arquivos.

e. Quando ocorre um incidente de segurança em uma empresa, não é
necessário observar procedimentos de preservação de evidências.
A resposta correta é: A área de forense computacional consiste no uso de

métodos cientí cos para preservação, coleta, validação, identi cação, análise,
interpretação, documentação e apresentação de evidência digital com validade
probatória em juízo..
Questão 9 
Incorreto
Quanto ao gerenciamento de riscos em segurança da informação, a etapa de

identi cação de vulnerabilidades apresenta os seguintes aspectos, EXCETO:
Escolha uma:
a. Existem testes que podem auxiliar nesta tarefa, como por exemplo testes
de invasão ativos (pentest).
b. Um exemplo de vulnerabilidade que pode ser citado é o fato dos

usuários demitidos não serem bloqueados nos sistemas de informação.
 Tema: Avaliação de riscos.A sentença descrita na opção não apresenta relação
com a etapa de identi cação de vulnerabilidades. Fonte: Cap 6, pag. 7,8
c. Orienta quanto aos procedimentos a m de evitar violação de quaisquer

obrigações legais, estatutárias, regulamentares ou contratuais relacionadas
à segurança da informação e de quaisquer requisitos de segurança.
d. Nesta etapa são identi cadas as vulnerabilidades do sistema que podem

ser exploradas pelas potenciais fontes de ameaças.
e. Os métodos proativos, que empregam testes de segurança do sistema,

podem ser usados para identi car e cientemente as vulnerabilidades. 
A resposta correta é: Orienta quanto aos procedimentos a m de evitar violação

de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais
relacionadas à segurança da informação e de quaisquer requisitos de segurança..
Questão 10 
Correto
Quanto a estratégias para mitigação de riscos, no contexto de

gerenciamento de riscos em segurança da informação, é correto a rmar:
Escolha uma:
a. Se o projeto do sistema é vulnerável e não explorável, o risco é existente.
b. Se o custo do ataque é menor que o ganho, então o risco não é aceitável.

 Tema: Estratégia de mitigação de riscos, Quando o custo do ataque é menor
do que o ganho o risco é aceitável pois um atacante terá baixo interesse em
prosseguir com o ataque. Fonte: Cap 6, pag. 16
c. Se o projeto do sistema não é vulnerável, o risco é existente.
d. Se o custo do ataque é maior que o ganho, então o risco não é aceitável.
e. Se o projeto do sistema é vulnerável e explorável, o risco é inexistente.
A resposta correta é: Se o custo do ataque é menor que o ganho, então o risco

não é aceitável..

Iniciado em
sábado, 10 Nov 2018, 23:58
Estado
Finalizada
Concluída em
sábado, 10 Nov 2018, 23:58
Nota
1,00 de um máximo de 10,00(10%)
Questão 1 
Incorreto
Quanto aos softwares antivírus, é correto a rmar:
Escolha uma:
a. Os vírus são criados pelas próprias empresa de antivírus, que visam o

lucro pela venda de suas ferramentas.
b. Soluções gratuitas não oferecem proteção contra malwares.

 Tema: Proteção contra software malicioso.O software antivírus reconhece o
programa como vírus ao efetuar a comparação entre o código-fonte do programa
em execução com a sua base de dados de assinaturas de vírus. Fonte: Cap 4, pag.
3
c. Funciona somente com detecção de assinatura de malware estática.
d. Uma assinatura de vírus é baseada em um segmento único de código-

fonte dentro do malware.
e. É um tipo de malware.
A resposta correta é: Uma assinatura de vírus é baseada em um segmento único

de código-fonte dentro do malware.. 
Questão 2 
Incorreto
Quanto às categorias de malwares, analise as sentenças abaixo:
I- Vírus é um programa que se autorreplica após alguma ação do usuário.
Worm é um programa que se autorreplica sem a necessidade de ação do

usuário.
II- Ransomware é um malware menos perigoso, pois sua função é exibir

publicidade ao usuário.
III-Spyware é um malware que monitora o equipamento do usuário e efetua

coleta de informações do mesmo.
IV-Está correto o que consta em:
Escolha uma:
a. I,II e IV apenas
b. IV, apenas.
 Tema: Software malicioso.A alternativas I, II e IV são verdadeiras. A alternativa
III é falsa pois o ransomware é uma categoria de malware perigosa, que efetua o
sequestro dos dados do usuário, criptografando os mesmos, e exigindo valor

monetário como resgate. Fonte: Cap 4, pag. 1,2
c. I e IV, apenas.
d. I,II,III,IV.
e. I e II, apenas.
A resposta correta é: I,II e IV apenas.
Questão 3 
Incorreto
Sobre política de backup é correto a rmar:
Escolha uma:
a. A guarda de backup em local físico diferente da sede de uma organização

não é recomendada, visto a di culdade de recuperação em caso de
desastre.
b. De um modo geral as políticas de backup consistem em capturar um

backup completo inicial de dados em disco e/ou ta, seguido de uma série
de backups diários incrementais ou diferenciais.
c. Backup em discos são mais seguros do que backup em tas.

 De um modo geral as políticas de backup consistem em capturar um backup
completo inicial de dados em disco e/ou ta, seguido de uma série de backups
diários incrementais ou diferenciais.
d. Somente dados críticos necessitam de backup.
e. Backups completos devem ser realizados diariamente.
A resposta correta é: De um modo geral as políticas de backup consistem em 

capturar um backup completo inicial de dados em disco e/ou ta, seguido de
uma série de backups diários incrementais ou diferenciais..
Questão 4 
Incorreto
Quanto a conceitos complementares de criptogra a, selecione a alternativa

que descreve um ataque de força bruta:
Escolha uma:
a. É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e

caracteres especiais.
b. É um ataque que consiste na tentativa de reverter um algoritmo de chave

simétrico.
 Tema: Criptogra a.O ataque de força bruta também é conhecido como busca
exaustiva de chaves e pode, em teoria, ser utilizado contra quaisquer dados
criptografados. Fonte: Cap 4, pag. 14
c. É um ataque onde são utilizadas senhas armazenadas em um dicionário.
d. É um ataque que necessita alto poder de processamento, não sendo

possível realiza-lo com um computador doméstico.
e. Consiste de veri cação sistemática de todas as possíveis chaves e senhas

até que as corretas sejam encontradas. No pior dos casos, isto envolveria
percorrer todo o espaço de busca. 
A resposta correta é: Consiste de veri cação sistemática de todas as possíveis

chaves e senhas até que as corretas sejam encontradas. No pior dos casos, isto
envolveria percorrer todo o espaço de busca..
Questão 5 
Correto
Quanto ao ciclo de vida da Engenharia Social, é correto a rmar:
Escolha uma:
a. Não existe ciclo de vida de um ataque de engenharia social, visto que

cada ataque é único.
b. A etapa de manipulação psicológica é o primeiro passo em um ataque de

engenharia social.
c. A etapa de relação de con ança é a fase na qual o atacante passa a

desenvolver um relacionamento com o alvo, uma vez que estes possíveis
alvos foram enumerados.
 Tema: Engenharia Social.E etapa de relação de con ança é a fase
imediatamente após a fase de levantamento de informações (coleta), onde o
atacante procura ganhar a con ança da vítima. Fonte: Cap 5, pag. 2,3
d. A coleta é uma fase pós-ataque, onde o engenheiro social utiliza a

informação obtida para ns ilícitos.
e. A etapa de manipulação psicológica é a etapa de levantamento de

informações sobre o(s) alvo(s) e o ambiente circunvizinho a este. 
A resposta correta é: A etapa de relação de con ança é a fase na qual o atacante

passa a desenvolver um relacionamento com o alvo, uma vez que estes possíveis
alvos foram enumerados..
Questão 6 
Incorreto
Um dos pro ssionais especialistas em segurança da informação tem um

destaque especial, por efetuar o papel de coordenação da equipe de
segurança, é o denominado Security O cer, ou agente de segurança. As
sentenças abaixo destacam as quali cações de um Security O cer, EXCETO:
Escolha uma:
a. Dominar técnicas de engenharia social.
b. Familiaridade com termos e conceitos da área.

 Tema: Papel dos pro ssionais da segurança da informação.A alternativa é
incorreta pois não faz parte dos requisitos básicos deste pro ssional o domínio de
técnicas de engenharia social. Fonte: Cap 5, pag. 10,11,12
c. Certi cações e especializações na área de segurança da informação.
d. Excelente capacidade de comunicação.
e. Capacidade de conciliar os interesses de segurança com os interesses do

negócio.

A resposta correta é: Dominar técnicas de engenharia social..
Questão 7 
Incorreto
As sentenças abaixo apresentam estratégias de defesa contra engenharia

social, EXCETO:
Escolha uma:
a. Estabelecer um padrão para que as senhas nunca sejam pronunciadas

por telefone.
b. Investir em software especí co disponível para proteger uma empresa

contra a engenharia social.
c. Implementar tecnologias de identi cação de chamadas de/ou para o

suporte.
 Tema: Engenharia Social.A defesa contra a engenharia social é alcançada com
a implementação de boas práticas de segurança que auxiliem na proteção da
empresa, não existindo um software especí co para tal ação. Fonte: Cap 5, pag.
7,8
d. Exigir que qualquer prestador de serviço seja cadastrado e identi cado

apropriadamente.
e. Investir em equipamento triturador. 
A resposta correta é: Investir em software especí co disponível para proteger

uma empresa contra a engenharia social..
Questão 8 
Incorreto



Escolha uma:
b. III, apenas.
 Tema: Assinatura Digital.A alternativas I, III e IV são verdadeiras. A alternativa II 
c. I, III e IV, apenas.
d. II e IV, apenas.
e. I,II,III,IV.
Questão 9 
Incorreto
Sobre a integração do gerenciamento de riscos com o ciclo de vida de

desenvolvimento de sistemas (CVDS), no contexto da segurança da
informação, é correto a rmar:
Escolha uma:
a. Na fase 4 do CVDS (operação ou manutenção), os riscos identi cados são

usados para suportar o desenvolvimento dos requisitos do sistema,
incluindo os requisitos de segurança, e conceitos de segurança de
operações.
b. A metodologia de gerenciamento de riscos não pode ser integrada ao

CVDS.
 Tema: Gerenciamento de riscos em segurança da informação aplicado ao
CVDS.Um processo iterativo é um processo que se repete diversas vezes para se
chegar a um resultado parcial, que pode ser utilizado no próximo ciclo. Isto pode
ser aplicado ao gerenciamento de riscos para cada ciclo do CVDS. Fonte: Cap 6, pag.
2,3.
c. Na fase 2 do CVDS (desenvolvimento ou aquisição), as atividades de

gerenciamento de risco são executadas para componentes do sistema que

serão descartados ou substituídos.
d. O gerenciamento de riscos é um processo que pode ser realizado de

forma iterativa para cada fase principal do CVDS.
e. O gerenciamento de riscos é um processo que deve ser realizado de

forma única para cada fase principal do CVDS.
A resposta correta é: O gerenciamento de riscos é um processo que pode ser

realizado de forma iterativa para cada fase principal do CVDS..
Questão 10 
Incorreto

Escolha uma:
a. Se o custo do ataque é menor que o ganho, então o risco não é aceitável.
b. Se o projeto do sistema é vulnerável e não explorável, o risco é existente.

 Tema: Estratégia de mitigação de riscos, Quando o custo do ataque é menor
d. Se o projeto do sistema é vulnerável e explorável, o risco é inexistente.
e. Se o custo do ataque é maior que o ganho, então o risco não é aceitável.


Iniciado em
sábado, 10 Nov 2018, 23:59
Estado
Finalizada
Concluída em
domingo, 11 Nov 2018, 00:02
Nota
9,00 de um máximo de 10,00(90%)
Questão 1 
Correto
Escolha uma:
a. Funciona somente com detecção de assinatura de malware estática.
b. É um tipo de malware.
c. Uma assinatura de vírus é baseada em um segmento único de código-

 Tema: Proteção contra software malicioso.O software antivírus reconhece o
3
d. Os vírus são criados pelas próprias empresa de antivírus, que visam o

e. Soluções gratuitas não oferecem proteção contra malwares.

Questão 2 
Correto

Escolha uma:
a. É um ataque onde são utilizadas senhas armazenadas em um dicionário.

simétrico.
c. Consiste de veri cação sistemática de todas as possíveis chaves e senhas

percorrer todo o espaço de busca.
 Tema: Criptogra a.O ataque de força bruta também é conhecido como busca

e. É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e

caracteres especiais. 

Questão 3 
Correto

Escolha uma:
a. Utilizar criptogra a fraca, operar com menos privilégio, tratar entrada e

saída de dados.
b. Operar com menos privilégio, utilizar concatenações de strings para

c. Utilizar registros de acesso (log) e rastreamento, utilizar concatenações

fraca.
d. Maximizar o uso de strings inseguras e funções de bu er, operar com

dinâmicas.
e. Operar com menos privilégio, minimizar o uso de strings inseguras e

funções de bu er, tratar entrada e saída de dados. 
 Tema: Segurança no desenvolvimento de software.Operar com menos
Cap 4, pag. 7,8,9

Questão 4 
Correto

usuário.


Escolha uma:
a. IV, apenas.
b. I e II, apenas.
c. I e IV, apenas.
d. I,II,III,IV. 
e. I,II e IV apenas
 Tema: Software malicioso.A alternativas I, II e IV são verdadeiras. A alternativa
Questão 5 
Correto
Escolha uma:
a. Quando ocorre um incidente de segurança em uma empresa, não é

b. Não é possível recuperar informações a partir de fragmentos de

arquivos.
c. A área de forense computacional consiste no uso de métodos cientí cos

em juízo.
 Tema: Forense computacional.A ciência forense computacional é bastante
d. A aplicação de metodologias forenses pode ser aplicada por qualquer

e. A área de forense computacional não possui ligação com crimes 


Questão 6 
Correto

Escolha uma:
a. Capacidade de conciliar os interesses de segurança com os interesses do

negócio.
c. Dominar técnicas de engenharia social.

 Tema: Papel dos pro ssionais da segurança da informação.A alternativa é
e. Certi cações e especializações na área de segurança da informação.

Questão 7 
Correto
Escolha uma:
a. A etapa de manipulação psicológica é o primeiro passo em um ataque de

engenharia social.
b. Não existe ciclo de vida de um ataque de engenharia social, visto que





Questão 8 
Correto

social, EXCETO:
Escolha uma:
a. Implementar tecnologias de identi cação de chamadas de/ou para o

suporte.
b. Investir em equipamento triturador.
c. Estabelecer um padrão para que as senhas nunca sejam pronunciadas

por telefone.

apropriadamente.
e. Investir em software especí co disponível para proteger uma empresa

 Tema: Engenharia Social.A defesa contra a engenharia social é alcançada com
7,8 

Questão 9 
Correto

Escolha uma:
a. Um exemplo de vulnerabilidade que pode ser citado é o fato dos

b. Nesta etapa são identi cadas as vulnerabilidades do sistema que podem


 Tema: Avaliação de riscos.A sentença descrita na opção não apresenta relação
d. Os métodos proativos, que empregam testes de segurança do sistema,

podem ser usados para identi car e cientemente as vulnerabilidades.
e. Existem testes que podem auxiliar nesta tarefa, como por exemplo testes
de invasão ativos (pentest). 

Questão 10 
Incorreto

Escolha uma:
a. O gerenciamento de riscos é um processo que pode ser realizado de

b. Na fase 4 do CVDS (operação ou manutenção), os riscos identi cados são

operações.
2,3
c. A metodologia de gerenciamento de riscos não pode ser integrada ao

CVDS.

d. O gerenciamento de riscos é um processo que deve ser realizado de

e. Na fase 2 do CVDS (desenvolvimento ou aquisição), as atividades de



Iniciado em
domingo, 11 Nov 2018, 00:04
Estado
Finalizada
Concluída em
domingo, 11 Nov 2018, 00:04
Nota
1,00 de um máximo de 10,00(10%)
Questão 1 
Incorreto
A norma ISO que apresenta um guia para auditoria de sistemas de gestão é

a norma:
Escolha uma:
a. ISO 9002
b. ISO 27001
 Tema: Auditoria e padrões ISSO. A Norma ISO 19011:2011 não estabelece
requisitos, mas fornece diretrizes sobre a gestão de um programa de auditoria,
sobre o planejamento e a realização de uma auditoria de sistema de gestão, bem
como sobre a competência e avaliação de um auditor e de uma equipe auditora.
Fonte: Cap 8 pag. 15,16
c. ISO 27002
d. ISO 19011
e. ISO 9001
A resposta correta é: ISO 19011.


Questão 2 
Correto
A auditoria de sistemas de informação torna-se uma atividade importante e

necessária ao proprietário que delega um patrimônio para ser gerido por um
terceiro. Assinale a alternativa que apresenta o conceito de auditoria:
Escolha uma:
a. É o um instrumento de governança com o intuito de veri car se os

interesses do agente (gestor do patrimônio do proprietário) estão sendo
atendidos.
b. É o processo que visa implementar os controles contidos no COBIT, entre

eles con dencialidade, integridade e disponibilidade.
c. É o processo de assegurar se o desenvolvimento, implantação e

manutenção de sistemas atingem os objetivos de negócio, segurança dos
itens de informação e mantem a integridade dos dados.
 Tema: Objetivos da auditoria. A auditoria de sistemas de informação deve
assegurar a validade, con abilidade, e segurança da informação, garantindo
também a integridade dos dados contidos nos sistemas. Fonte: Cap 7, pag. 6
d. É o processo que implementa a teoria da agência.


e. É o processo que veri ca somente informações da área contábil.
A resposta correta é: É o processo de assegurar se o desenvolvimento,

implantação e manutenção de sistemas atingem os objetivos de negócio,
segurança dos itens de informação e mantem a integridade dos dados..
Questão 3 
Incorreto
Uma das principais associações que auxiliam os pro ssionais auditores de

sistemas de informação, responsável pela certi cação CISA (Certi ed
Information Systems Auditor) é a:
Escolha uma:
a. COBIT
b. ACL
c. INMETRO
 Tema: Associações e certi cações. A certi cação CISA é mantida pela ISACA,
uma associação que auxilia pro ssionais em todo o mundo atuando no
desenvolvimento de metodologias e certi cações. Fonte: Cap 7, pag. 17
d. ISACA
e. ISSO
A resposta correta é: ISACA.
Questão 4 
Incorreto
O Ciclo de Auditoria Operacional (ANOp) é uma abordagem para avaliação

com foco na gestão pública. Assinale a alternativa que apresenta o órgão
responsável por este guia:
Escolha uma:
a. IEEE.
b. ISSO
c. INMETRO
d. INTOSAI
 Tema: Ciclo de Auditoria Operacional – TCU. O TCU propõe no Ciclo de
Auditoria Operacional (ANOp) uma abordagem para avaliação com foco na gestão
pública. A abordagem do TCU é fortemente in uenciada pela INTOSAI, e pelas
normas internacionais de entidades scalizadoras superiores (ISSAI). Fonte: Cap 8
pag. 8
e. TCU

A resposta correta é: TCU.
Questão 5 
Incorreto
A respeito do relatório de auditoria de sistemas de informação, assinale a

alternativa INCORRETA:
Escolha uma:
a. O relatório pode ter um impacto signi cativo nas decisões de gestão

relativas à organização auditada e aos seus destinatários.
b. Os relatórios não são distribuídos a partes externas, como o público em

geral ou agências governamentais que têm autoridade reguladora sobre a
entidade de auditoria, visto que tratam de informações con denciais das
organizações.
c. O conteúdo do relatório deve ser su cientemente abrangente para

permitir que o mesmo seja independente.
d. O relatório é o principal meio de comunicar os resultados de uma

auditoria ao cliente ou entidade auditada.
e. Os relatórios devem ajudar os auditados a compreender as questões de

controle, recomendações e o risco associado de não tomarem medidas
corretivas. 
 Tema: Relatório de auditoria de sistemas de informação. A alternativa é
incorreta pois os relatórios também são distribuídos a partes externas, como o
público em geral ou agências governamentais que têm autoridade reguladora sobre
a entidade de auditoria. Fonte: Cap 9 pag. 9
A resposta correta é: Os relatórios não são distribuídos a partes externas, como o

público em geral ou agências governamentais que têm autoridade reguladora
sobre a entidade de auditoria, visto que tratam de informações con denciais das
organizações..
Questão 6 
Incorreto
As ferramentas para auditoria de sistemas de informação são classi cadas

em três categorias básicas. Assinale a alternativa que corresponde estas
categorias:
Escolha uma:
a. Ferramentas de banco de dados, ferramentas ACL e ferramentas de uso

geral.
b. Ferramentas estatísticas, ferramentas generalistas e ferramentas

especializadas.
 Tema: Ferramentas de auditoria de sistemas de informação. Ferramentas
generalistas possuem foco mais abrangente, ferramentas especializadas são
desenvolvidas para um m especí co, e ferramentas de uso geral servem como
apoio ao trabalho de auditoria. Fonte: Cap 10 pag. 1
c. Ferramentas generalistas, ferramentas especializadas e ferramentas de

uso geral.
d. Ferramentas estatísticas, ferramentas de uso geral e ferramentas ACL.
e. Ferramentas especializadas, ferramentas ACL e ferramentas de uso geral. 
A resposta correta é: Ferramentas generalistas, ferramentas especializadas e

ferramentas de uso geral..
Questão 7 
Incorreto
Em um relatório de auditoria de sistemas de informação, a seção de

metodologia de auditoria:
Escolha uma:
a. Descreve o tipo de auditoria e o que está a ser auditado.
b. Fornece uma conclusão geral.
c. Fornece uma explicação detalhada dos resultados da auditoria.

 Tema: Relatório de auditoria de sistemas de informação. Além de fornecer
explicação de alto nível a seção de metodologia deve identi car a natureza e a
extensão do trabalho, os critérios, as fontes de critérios, a dependência do trabalho
de outros pro ssionais, o tipo de análise realizada e a base para as conclusões.
Fonte: Cap 9 pag. 19.
d. Fornece uma explicação de alto nível sobre como a auditoria foi realizada
para cada objetivo.
e. Identi ca os itens a serem avaliados pela auditoria.
A resposta correta é: Fornece uma explicação de alto nível sobre como a 
auditoria foi realizada para cada objetivo..
Questão 8 
Incorreto
Uma das etapas mais importantes quanto ao uso da ferramenta ACL para
auditoria de sistemas de informação é a etapa de veri cação de integridade
dos dados. Assinale a alternativa que contém um elemento desta etapa:
Escolha uma:
a. Os totais numéricos correspondem aos totais de controle fornecidos pelo

proprietário do dado.
b. O auditor adquire os dados para o projeto.
c. O auditor considera o meio no qual receberá os dados e a capacidade do

servidor de rede ou unidade de disco local.
 Tema: Ferramentas de auditoria de sistemas de informação. Uma das formas
de veri car a integridade dos dados é através da comparação entre os totais
numéricos obtidos e os totais numéricos de controle. Fonte: Cap 10 pag. 7,8
d. Os auditores começam o projeto com uma caneta e papel escrevendo de

forma clara e inequívoca as declarações dos objetivos do projeto.
e. O auditor informa ao software ACL como ler e interpretar os dados que

ele contém. 
A resposta correta é: Os totais numéricos correspondem aos totais de controle

fornecidos pelo proprietário do dado..
Questão 9 
Incorreto
Faça a devida correlação entre as fases de um projeto ACL:
1.Planejar o projeto
2.Adquirir os dados
3.Acessar os dados com o ACL
4.Veri car a integridade dos dados
5.Analisar os dados
6.Reportar os achados
I - Assegurar-se de que os dados não contenham elementos corrompidos.
II - Identi car o objetivo em termos comerciais e técnicos.
III - Preparar os resultados para apresentação formal.
IV - Obter acesso físico e lógico identi cando a localização e o formato dos

dados de origem necessários.
V - Interrogar e manipular os dados para identi car exceções.
VI - Adicionar dados ao projeto como tabelas, que de nem como a ACL lê os

dados de origem. 
Escolha uma:
a. I – 3, II – 2, III – 6, IV – 1, V – 5, VI – 4
b. I – 4, II – 2, III – 3, IV – 1, V – 5, VI – 6
 A) I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3, O projeto de auditoria desenvolvido com
o software ACL, via de regra, respeita todas as seis etapas descritas. Fonte: capítulo
10
c. I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3
d. I – 1, II – 4, III – 2, IV – 6, V – 5, VI - 3
e. I – 5, II – 1, III –3, IV – 2, V – 4, VI – 6
A resposta correta é: I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3.
Questão 10 
Incorreto
Consideram as a rmações:
I - “O software Audit Command Language faz parte da categoria de softwares

especializados em auditoria, visto que possui diversas funcionalidades,
podendo ler bases de dados de diversos formatos.”
II - O software IDEA permite auditoria baseada em gestão de risco, através

de governança organizacional e alto desempenho operacional.
III - As ferramentas especí cas de auditoria de SI possuem a vantagem de

serem desenvolvidas para uma demanda especí ca, por isso a e ciência da
ferramenta é muito maior do que um software generalista, além de ter custo
baixo de produção, visto que possui menos funcionalidades que necessitam
ser desenvolvidas.
Podemos dizer que:
Escolha uma:
a. I, II e III são verdadeiras
b. Somente II e III são verdadeiras


 Comentário: I - O software especializado é desenvolvido para a execução de
uma tarefa especí ca, diferentemente do software generalista, capaz de realizar
tarefas diversi cadas. II - Estas são características presentes no software Pentana. III
- Comentários: O custo de desenvolvimento de uma ferramenta especí ca costuma
ser oneroso, visto que trata-se de um software que atenderá somente a um cliente.
Fonte: capítulo 10
c. I, II e III são falsas
d. Somente III é verdadeira
e. II e III são falsas
A resposta correta é: I, II e III são falsas.

Iniciado em
domingo, 11 Nov 2018, 00:04
Estado
Finalizada
Concluída em
domingo, 11 Nov 2018, 00:05
Nota
3,00 de um máximo de 10,00(30%)
Questão 1 
Incorreto
O IT Assurance Guide é um guia focado na avaliação dos controles internos

de TI descritos no COBIT, e pode ser traduzido como Guia de Auditoria de TI.
Assinale a alternativa que apresenta o órgão responsável por este guia:
Escolha uma:
a. ISACA
b. INMETRO.
 Tema: ISACA,opção (C). A ISACA disponibiliza alguns guias importantes entre
eles o IT Assurance Guide. O título pode ser traduzido como Guia de Avaliação de TI.
Focado na avaliação dos controles internos de TI descritos no COBIT. No título é
usado o termo Assurance, ou avaliação este termo é mais abrangente do que o
termo auditoria, no entanto a auditoria é um tipo de avaliação. Fonte: Cap 8 pag.
13
c. INTOSAI
d. ISSO
e. TCU

Questão 2 
Correto
Quanto à conceitos complementares relacionados a auditoria de sistemas de

informação, o exame independente e objetivo a rma que:
Escolha uma:
a. A auditoria deve ser baseada na norma NBR ISO/IEC 27001:2013.
b. A auditoria deve ser realizada por pessoas com independência em

relação ao seu objeto, de modo a assegurar imparcialidade no julgamento.
 Tema: Conceitos complementares de auditoria de sistemas de informação. É
de fundamental importância a imparcialidade do auditor, visto que o contrário pode
comprometer a validade do relatório de auditoria. Fonte: Cap 7, pag. 7,8
c. A auditoria deve ser realizada por pessoas que tenham profundo

conhecimento das regras de negócio, de modo a assegurar a delidade no
julgamento.
d. A auditoria deve ser realizada pelo agente (gestor do patrimônio do

principal).
e. A auditoria deve ser realizada somente por órgãos governamentais,

como o TCU. 
A resposta correta é: A auditoria deve ser realizada por pessoas com

independência em relação ao seu objeto, de modo a assegurar imparcialidade no
julgamento..
Questão 3 
Correto
As diferentes abordagens de auditoria de sistemas de informação possuem,

em geral, 3 fases. Assinale a alternativa que apresenta estas fases:
Escolha uma:
a. Entrevistas, Planejamento, Execução.
b. Planejamento, Execução, Conclusão.

 Tema: Abordagens de auditoria de sistemas de informação. Para a execução
do planejamento é primordial estar de nido o enfoque, abrangência e delimitação
dos sistemas a participarem da auditoria de sistemas de informação. A fase de
execução é centrada na coleta, análise e avaliação e documentação da informação
relevante. Finalmente, a fase de conclusão tem como objetivo comunicar os
resultados da auditoria. Fonte: Cap 8 pag. 2,3.
c. Execução, Conclusão, Revisão.
d. Planejamento, Entrevistas, Revisão.
e. Planejamento, Conclusão, Revisão.
A resposta correta é: Planejamento, Execução, Conclusão.. 
Questão 4 
Incorreto
Quanto ao per l do auditor de sistemas de informação, NÃO é correto

a rmar que:
Escolha uma:
a. A ISACA mantém um código de ética, o qual serve como um balizador

para as ações do auditor. Para associados que desrespeitam a este código,
as ações podem resultar em investigação e medidas disciplinares.
b. O auditor deve servir aos interesses do contratante e partes envolvidas

de uma maneira objetiva e condizente com a legislação vigente.
 Tema: Auditor – per l e ética. A é incorreta pois para a execução dos trabalhos,
inevitavelmente o auditor terá acesso a informações sigilosas sobre a empresa.
c. O auditor de sistemas de informação, durante a execução do seu

trabalho, não terá acesso a informações sigilosas sobre a empresa,
portanto não é necessário zelo excessivo com a con dencialidade.
d. Um auditor deve ter a integridade como característica.
e. Deve efetuar uma avaliação equilibrada de todas as circunstâncias 

relevantes e não indevidamente in uenciados pelos interesses próprios ou
de terceiros.
A resposta correta é: O auditor de sistemas de informação, durante a execução

do seu trabalho, não terá acesso a informações sigilosas sobre a empresa,
portanto não é necessário zelo excessivo com a con dencialidade..
Questão 5 
Incorreto
Uma das técnicas utilizadas para auditoria de sistemas de informação é a

técnica de inserção de dados de teste. A respeito desta técnica assinale a
Escolha uma:
a. Os tipos gerais de condições que devem ser testados incluem, mas não
se limitam a: testes de transações que ocorrem normalmente e testes
usando dados inválidos.
b. Esta técnica envolve o uso de um conjunto de dados especialmente

projetados e preparados com o objetivo de testar as funcionalidades de
entrada de dados no sistema.
 Tema: Técnicas de auditoria de sistemas de informação. A alternativa é
incorreta pois quanto mais combinações de transações puderem ser feitas no
arquivo de carga, maior será a cobertura do teste. Fonte: Cap 9 pag. 2
c. Quanto menos combinações de transações puderem ser feitas no

arquivo de carga, maior será a cobertura do teste.
d. Não é necessário um avançado conhecimento de informática para a


elaboração dos dados, o qual pode ser feito inclusive utilizando-se de
softwares automatizados que tornam a tarefa mais simples.
e. Antes das transações serem executadas, os resultados de teste esperado

são predeterminados, para que os resultados reais possam ser
comparados com os resultados predeterminados.
A resposta correta é: Quanto menos combinações de transações puderem ser

feitas no arquivo de carga, maior será a cobertura do teste..
Questão 6 
Correto
As Normas de Auditoria e Garantia dos Sistemas de Informação (SI) e as

Diretrizes de Auditoria e Garantia de SI, são publicadas pela organização
denominada:
Escolha uma:
a. IEEE.
b. ISACA.
 Tema: Relatório de auditoria de sistemas de informação. Acrônimo para
Information System Audit and Control Association (Associação de Auditoria e
Controle de Sistemas de Informação). Uma associação que auxilia pro ssionais em
todo o mundo atuando no desenvolvimento de metodologias e certi cações.
c. ISO.
d. INMETRO.
e. INTOSAI.
A resposta correta é: ISACA..


Questão 7 
Incorreto
Quanto às melhores práticas para auditoria de sistemas de informação,

analise as sentenças abaixo:
I- Existe um único padrão mundial que deve ser seguido pelos auditores de
sistemas de informação, descrito nas normas da família ISO 27000.
II- A reunião de abertura com a alta administração é muito importante. Ela

de ne o tom para toda a auditoria e fornece a oportunidade de estabelecer
o ambiente adequado para começar a construir relações de trabalho
e cazes.
III- As entrevistas são uma parte fundamental do processo de auditoria.

Existem dois tipos de entrevista: diretivas e não-diretivas.
Escolha uma:
a. I, somente.
b. I e II, somente.
 Tema: Melhores práticas de auditoria de sistemas de informação. As
alternativas II e III são verdadeiras. A alternativa I é falsa pois não existe um único 
padrão de auditoria de sistemas de informação, sendo inclusive uma di culdade
para os pro ssionais desta área. Fonte: Cap 9 pag. 4,5,6
c. I,II,III.
d. III, somente.
e. II e III, somente.
A resposta correta é: II e III, somente..
Questão 8 
Incorreto

técnica de simulação paralela. A respeito desta técnica assinale a alternativa
correta:
Escolha uma:
a. É uma técnica que consiste em incluir a lógica de auditoria nos sistemas

na fase de desenvolvimento.
b. Esta técnica também é conhecida como “test data” ou “test deck”.

 Tema: Técnicas de auditoria de sistemas de informação. Nesta técnica,
diferentemente de outras, o auditor veri ca o processamento de transações reais,
permitindo que ele veri que os resultados reais do cliente. Fonte: Cap 9 pag. 4
c. É uma técnica que consiste na análise de um arquivo de log do tipo

sysadmin.
d. Esta técnica processa os dados reais do cliente por meio de um

programa de auditoria especialmente desenvolvido e que atende a toda a
lógica necessária para o teste, simulando as funcionalidades do programa
em produção.

e. É uma técnica também conhecida como ITF.
A resposta correta é: Esta técnica processa os dados reais do cliente por meio de
um programa de auditoria especialmente desenvolvido e que atende a toda a
lógica necessária para o teste, simulando as funcionalidades do programa em
produção..
Questão 9 
Incorreto
Quanto à ferramenta IDEA (Interactive Data Extraction & Analisys) para

auditoria de sistemas de informação, assinale a alternativa INCORRETA:
Escolha uma:
a. O IDEA permite criar dois tipos de projetos de área de trabalho local:

Gerenciado e Externo.
b. O software usa projetos para organizar os arquivos a serem auditados.

 Tema: Ferramentas de auditoria de sistemas de informação. A ferramenta IDEA
é uma ferramenta generalista de auditoria de SI. Fonte: Cap 10 pag. 10
c. Trata-se de uma ferramenta especí ca de auditoria de SI, ou seja,

desenvolvida especi camente para execução de uma tarefa determinada.
d. O software IDEA inclui uma ferramenta de desenvolvimento conhecida

como IDEAScript para criar macros a m de estender a funcionalidade do
IDEA.
e. A ferramenta oferece a capacidade de importar quantidades massivas de

dados de fontes diversas, incluindo sistemas ERP, planilhas, mainframes
com sistemas legados, arquivos impressos, entre outros. 
A resposta correta é: Trata-se de uma ferramenta especí ca de auditoria de SI, ou

seja, desenvolvida especi camente para execução de uma tarefa determinada..
Questão 10 
Incorreto
Quanto à ferramenta ACL para auditoria de sistemas de informação, a fase

em que são obtidos acesso físico e lógico identi cando a localização e o
formato dos dados de origem necessários, é a fase de:
Escolha uma:
a. Planejar o projeto.
b. Acessar os dados com o ACL.

 Tema: Ferramentas de auditoria de sistemas de informação. Os dados de
origem podem estar em um computador mainframe, um minicomputador ou um
computador pessoal. Podem ter qualquer estrutura de registro, uma variedade de
tipos de dados e podem estar em disco rígido, pendrives ou outros dispositivos de
armazenamento. Fonte: Cap 10 pag. 4
c. Adquirir os dados.
d. Analisar os dados.
e. Veri car a integridade dos dados.

A resposta correta é: Adquirir os dados..

Iniciado em
domingo, 11 Nov 2018, 00:05
Estado
Finalizada
Concluída em
domingo, 11 Nov 2018, 00:10
Nota
6,00 de um máximo de 10,00(60%)
Questão 1 
Correto

Escolha uma:
a. A auditoria deve ser realizada por pessoas com independência em

b. A auditoria deve ser realizada pelo agente (gestor do patrimônio do

principal).
c. A auditoria deve ser realizada somente por órgãos governamentais,

como o TCU.
d. A auditoria deve ser realizada por pessoas que tenham profundo

julgamento.
e. A auditoria deve ser baseada na norma NBR ISO/IEC 27001:2013. 

julgamento..
Questão 2 
Não respondido

Escolha uma:
b. Execução, Conclusão, Revisão.
c. Planejamento, Entrevistas, Revisão.
d. Planejamento, Conclusão, Revisão.
e. Planejamento, Execução, Conclusão.
A resposta correta é: Planejamento, Execução, Conclusão..
Questão 3 
Correto

Escolha uma:
a. ISSO
b. INMETRO
c. IEEE.
d. TCU
 Tema: Ciclo de Auditoria Operacional – TCU. O TCU propõe no Ciclo de
pag. 8
e. INTOSAI

Questão 4 
Correto

a rmar que:
Escolha uma:

b. Deve efetuar uma avaliação equilibrada de todas as circunstâncias

de terceiros.

 Tema: Auditor – per l e ética. A é incorreta pois para a execução dos trabalhos,
d. O auditor deve servir aos interesses do contratante e partes envolvidas

de uma maneira objetiva e condizente com a legislação vigente. 
e. Um auditor deve ter a integridade como característica.

Questão 5 
Correto
Escolha uma:
a. Os auditores começam o projeto com uma caneta e papel escrevendo de

b. Os totais numéricos correspondem aos totais de controle fornecidos

pelo proprietário do dado.
 Tema: Ferramentas de auditoria de sistemas de informação. Uma das formas
c. O auditor adquire os dados para o projeto.
d. O auditor considera o meio no qual receberá os dados e a capacidade do


ele contém. 

Questão 6 
Correto

categorias:
Escolha uma:
a. Ferramentas estatísticas, ferramentas generalistas e ferramentas

especializadas.
b. Ferramentas generalistas, ferramentas especializadas e ferramentas de

uso geral.
 Tema: Ferramentas de auditoria de sistemas de informação. Ferramentas
c. Ferramentas estatísticas, ferramentas de uso geral e ferramentas ACL.
d. Ferramentas especializadas, ferramentas ACL e ferramentas de uso

geral.
e. Ferramentas de banco de dados, ferramentas ACL e ferramentas de uso 

geral.

Questão 7 
Correto

correta:
Escolha uma:
a. É uma técnica que consiste na análise de um arquivo de log do tipo

sysadmin.
b. É uma técnica que consiste em incluir a lógica de auditoria nos sistemas

c. É uma técnica também conhecida como ITF.

em produção.
 Tema: Técnicas de auditoria de sistemas de informação. Nesta técnica,

e. Esta técnica também é conhecida como “test data” ou “test deck”.
produção..
Questão 8 
Não respondido

denominada:
Escolha uma:
a. ISO.
b. INMETRO.
c. INTOSAI.
d. IEEE.
e. ISACA.
Questão 9 
Incorreto

Escolha uma:
a. O software IDEA inclui uma ferramenta de desenvolvimento conhecida

IDEA.
b. O IDEA permite criar dois tipos de projetos de área de trabalho local:

c. A ferramenta oferece a capacidade de importar quantidades massivas de

com sistemas legados, arquivos impressos, entre outros.
d. Trata-se de uma ferramenta especí ca de auditoria de SI, ou seja,

e. O software usa projetos para organizar os arquivos a serem auditados. 

Questão 10 
Incorreto



ser desenvolvidas.
Podemos dizer que:
Escolha uma:
a. Somente II e III são verdadeiras


Fonte: capítulo 10
b. I, II e III são falsas
c. II e III são falsas
d. I, II e III são verdadeiras
e. Somente III é verdadeira
Questão 1
Correto
Marcar questão
Texto da questão

Escolha uma:
a. Nesta fase serão obtidas informações iniciais sobre os ambientes de negócios, bem
como o entendimento das necessidades e uso dos recursos tecnológicos nos
processos da instituição.
A primeira fase para o desenvolvimento e implementação das políticas, normas e
procedimentos de segurança da informação em uma organização é a fase de
levantamento de informações. Não há como prosseguir para as outras fases sem o
entendimento completo sobre o ambiente, regras de negócio e processos de uma
b. É nesta fase que serão formalizados os procedimentos junto à alta administração.
c. Fase que envolve aspectos como a classificação das informações, atribuição de

regras e responsabilidades e, descrição de procedimentos que envolvem a TI como um
todo.
d. É a fase de mudança de cultura que inclui comportamentos que comprometem a


preparação de material promocional, divulgação constante, conscientização das
responsabilidades, realização de palestras de modo que todo o público-alvo possa
compreender e ser convencido a segui-las.
Feedback
A resposta correta é: Nesta fase serão obtidas informações iniciais sobre os ambientes
de negócios, bem como o entendimento das necessidades e uso dos recursos
tecnológicos nos processos da instituição..
Questão 2
Incorreto
Marcar questão
Texto da questão
Quanto à classificação dos ativos da informação, assinale a alternativa que

natureza do ativo:
Escolha uma:
a. Empregados, ferramentas de desenvolvimento, planos de continuidade.
Os ativos da informação são a própria informação somada a qualquer componente
que a sustenta ou se utiliza dela. Este componente pode ser humano, tecnológico,
hardware, software, entre outros. O grupo de ativos cuja natureza é física engloba
somente objetos físicos que sustentam a informação. Fonte: Cap 1, pag. 7,8
c. Mídias magnéticas, impressoras e desktops.
d. Equipamentos de comunicação, sistemas operacionais e aplicativos.
e. Contratos, empregados e sistemas operacionais.
Feedback
Questão 3
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. Informação, conhecimento, dados.
b. Informação, dados, conhecimento.

Conceitos básicos de segurança da informação, opção (C) À medida que o nível de
abstração aumenta, é gerado valor agregado sobre os dados brutos, transformando-
se em informação, e posteriormente em conhecimento. Fonte: Cap 1, pag. 1,2
c. Dados, conhecimento, informação.
d. Conhecimento, informação, dados.
e. Dados, informação, conhecimento.
Feedback
Questão 4
Incorreto
Marcar questão
Texto da questão

considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F =
Escolha uma:
a. V,V,V,V,V
A alternativas I, III e V são verdadeiras. A alternativa II é falsa pois o ataque é a
exploração de uma falha por um agente. A alternativa IV é falsa pois a ameaça é a
b. V,F,V,V,F
c. V,F,V,F,V
d. F,F,V,F,V
e. F,F,V,F,V
Feedback
Questão 5
Incorreto
Marcar questão
Texto da questão

afirmar:
Escolha uma:
a. A implantação de um SGSI pode contribuir muito para a garantia da reputação de
uma organização.
b. Se a organização tem uma necessidade simples, isto requer uma solução simples
de SGSI.
Tema: Norma NBR/ISO 27001:2013, opção (E). A aplicação do SGSI é de fundamental
importância tanto para o setor público como para o setor privado. Fonte: Cap 2, pag.
3,4
c. Um SGSI é de fundamental importância para empresas do setor privado, porém não

se aplica ao setor público.
d. É o resultado da aplicação planejada de objetivos, diretrizes, políticas,

procedimentos, modelos e outras medidas administrativas que, de forma conjunta,
definem como são reduzidos os riscos para a segurança da informação.
e. Na prática, quando uma instituição implanta a norma ISO 27001 acaba por
constituir um SGSI.
Feedback
A resposta correta é: Um SGSI é de fundamental importância para empresas do setor

privado, porém não se aplica ao setor público..
Questão 6
Incorreto
Marcar questão
Texto da questão

tópico:
Escolha uma:
a. Referências indispensável para a aplicação da norma.
b. Glossário completo com termos técnicos fundamentais.

Tema: Norma NBR ISO/IEC 27001:2013, opção (C). A avaliação de desempenho,
aplicação da norma ISO 27001, importante pelo seu caráter crítico da aplicabilidade da
norma. Fonte: Cap 2, pag. 8
c. Descreve os objetivos gerais e a aplicação da norma.
d. Incentiva a melhoria contínua através de constantes ações corretivas.
e. Etapas de monitoramento, medição e análise bem como auditoria interna e análise

crítica por parte da alta administração.
Feedback

Questão 7
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. ISO 27001 e ISO 27009
b. ISO 27009 e ISO 27013
c. ISO 27009 e ISO 27017
d. ISO 27007 e ISO 27009

Tema: Introdução às normas e padrões de segurança da informação, opção (E). A
norma ISO 27001 é a principal norma que uma organização deve utilizar como base
para obter a certificação empresarial em gestão da segurança da informação sendo a
única norma internacional que define os requisitos para um Sistema de Gestão de
Segurança da Informação (SGSI) e a ISO 27002 é um conjunto completo de controles
que auxiliam a aplicação do SGSI. Fonte: Cap 2, pag. 2
e. ISO 27001 e ISO 27002
Feedback
Questão 8
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. ISO 9001
b. BS7799
c. BS7750
Tema: Introdução às normas e padrões de segurança da informação, opção (D). A
padronização para a área de segurança da informação foi iniciada pelo BSI (British
Standard Institute) com a criação da norma BS7799 na década de 1990, sendo
considerado o mais completo padrão para o gerenciamento da segurança da
d. IEEE 802.1
e. ISO 14001
Feedback
Questão 9
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. É de fundamental importância que a organização possua uma política de utilização
dos recursos de TI bem definida.
Tema: Utilização dos recursos de TI, opção (D). Os usuários finais não devem ter
acesso privilegiado para instalação de aplicativos em suas estações de trabalho, visto
que tal prática por representar riscos, como a instalação de malwares, pois o usuário
final não possui, via de regra, conhecimento técnico suficiente para evitar tais
incidentes. Fonte: Cap 3, pag. 1
b. Os colaboradores da instituição devem ter ciência de que o uso dos recursos

tecnológicos deve ser feito apenas para atividades diretamente relacionadas aos
negócios da organização.
c. A maioria dos incidentes de segurança da informação ocorrem no ambiente interno

das organizações.
d. Os usuários finais devem ter acesso privilegiado para instalação de softwares, visto
que tal prática não representa risco significativo à segurança da informação.
e. Cabe à equipe de TI disponibilizar aos colaboradores (funcionários ou terceiros)

somente os recursos tecnológicos que irão auxiliá-los no desempenho de suas
funções e execução de seus trabalhos.
Feedback
A resposta correta é: Os usuários finais devem ter acesso privilegiado para instalação
de softwares, visto que tal prática não representa risco significativo à segurança da
informação..
Questão 10
Incorreto
Marcar questão
Texto da questão

usado apenas para fins profissionais, a empresa poderá monitorar o
Independente de aviso prévio, a empresa jamais poderá monitorar o
correio eletrônico de um funcionário, podendo a mesma responder ação
judicial na Justiça do Trabalho.
Escolha uma:
a. V,V,V
b. V,F,V
c. V,V,F
d. F,V,F
Tema: Titularidade das informações, opção (B). A alternativas I e II são verdadeiras. A
alternativa III é falsa pois é direito da empresa monitorar o correio eletrônico de um
funcionário, visto que à ela pertence as informações armazenadas em seus ambientes
computacionais, devendo a empresa avisar previamente e regular o uso do email
corporativo. Fonte: Cap 3, pag. 2
e. F,F,V
Feedback
Questão 1
Incorreto
Marcar questão
Texto da questão

Escolha uma:
O ciclo de vida da informação é composto de seis etapas: obtenção, tratamento,
armazenamento, distribuição, uso e descarte. O uso é a etapa mais importante, pois é
quanto é gerado valor agregado à informação, podendo gerar informações gerenciais
que podem ser utilizadas para tomadas de decisões, entre outros propósitos. Fonte:
Cap 1, pag. 9,10
b. Quando é realizado algum tipo de organização ou formatação da informação.
d. Quando é gerado valor agregado à informação.
Feedback
A resposta correta é: Quando é gerado valor agregado à informação..
Questão 2
Incorreto
Marcar questão
Texto da questão
A confidencialidade é um dos pilares básicos da Segurança da Informação.

Escolha uma:
a. É a garantia de que a informação armazenada é verdadeira e não está corrompida.
b. É a propriedade de que a informação deve estar disponível sempre que alguém

autorizado, no exercício de suas funções, necessitar dela.
Tema: Pilares de segurança da informação, opção (E) A confidencialidade refere-se à
proteção da informação, no sentido de que somente quem é autorizado a acessá-la
deve fazê-lo. Fonte: Cap 1, pag. 4
c. É o conceito de que determinadas informações só podem ser acessadas por quem é

de direito conhecê-las.
d. É a capacidade de provar que um usuário foi responsável por determinada ação.
e. É a propriedade que garante que a informação está de acordo com a legislação

pertinente.
Feedback
A resposta correta é: É o conceito de que determinadas informações só podem ser

acessadas por quem é de direito conhecê-las..
Questão 3
Incorreto
Marcar questão
Texto da questão

informação (CIDAL – Confidencialidade, Integridade, Disponibilidade,
Autenticidade e Legalidade). Os níveis de impacto são classificados em
cinco níveis. Considerando a sequência do menor impacto para o maior
impacto, assinale a alternativa que corresponde à sequência correta:
Escolha uma:
a. Relevante, não-considerável, importante, vital e crítico.

Tema: Estudo de impactos (análise CIDAL), opção (D). Os níveis de impacto são
classificados do menor impacto, ou seja, quando um processo de negócio é afetado

d. Importante, crítico, vital, não considerável e relevante.
Feedback
Questão 4
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. Padronização dos procedimentos e conformidade com padrões de segurança
(normas ISO/IEC).
b. Maior segurança nos processos, através da implementação de novos

Divulgação, características e benefícios da política de segurança da informação
c. Implantação de controles para resolução de vulnerabilidades
d. Redução imediata de probabilidade de ataques a ativos de informação.
e. Retorno do investimento por meio de redução de problemas e incidentes.
Feedback
A resposta correta é: Retorno do investimento por meio de redução de problemas e

incidentes..
Questão 5
Incorreto
Marcar questão
Texto da questão
Sobre o “Anexo A” da norma NBR ISO/IEC 27001:2013, assinale a afirmativa

correta:
Escolha uma:
a. Trata-se de um glossário completo com termos técnicos fundamentais para o
entendimento da norma.
b. Trata-se da descrição detalhada de como implementar um Sistema de Gestão de

Segurança da Informação (SGSI).
Tema: Norma NBR/ISO 27001:2013, opção (A). O Anexo A da ISO 27001 apresenta forte
relacionamento com a norma ISO 27002. Neste anexo os controles são apresentados
em apenas uma frase, porém na norma ISO 27002 os mesmos controles são
detalhados em páginas inteiras. Fonte: Cap 2, pag. 9
c. Trata-se de um guia para obter a certificação da norma ISO 27001.
d. Trata-se do detalhamento da abordagem Plan-Do-Check-Act (PDCA).
e. Trata-se da descrição de controles com os mesmos nomes dos controles da norma

ISO 27002.
Feedback
A resposta correta é: Trata-se da descrição de controles com os mesmos nomes dos

controles da norma ISO 27002..
Questão 6
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. Grupo responsável pela governança e o gerenciamento de informações de uma
organização.
b. São os gestores executivos de uma empresa.
c. Pessoas que devem colaborar e trabalhar em conjunto a fim de garantir que a TI

esteja inclusa na abordagem de governança e gestão.
d. Pessoas que ajudam a alcançar os objetivos da empresa.

Tema: Princípios do COBIT, opção (A). O termo inglês stakeholders é muito utilizado no
COBIT e outras normas, no sentido original da palavra stake significa interesse ou
participação, e holder significa aquele que possui. Podem ser pessoas ou organizações
afetadas diretamente pelos projetos e processos de uma empresa. Fonte: Cap 2, pag.
13
e. Pessoas ou grupos que possuem investimento ou interesse no negócio.
Feedback
A resposta correta é: Pessoas ou grupos que possuem investimento ou interesse no

negócio..
Questão 7
Correto
Marcar questão
Texto da questão
Quanto à norma NBR/ISO 27002:2013, considere as afirmações, analise sua

correspondente:
O objetivo desta norma é prover um modelo para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar
um Sistema de Gestão de Segurança da Informação (SGSI).
27002.
A certificação é feita para pessoa física.
Escolha uma:
a. V,F,V,V
b. F,V,F,V
Tema: Norma NBR/ISO 27002:2013, opção (C). A alternativas II e IV são verdadeiras. A
alternativa I é falsa pois a tarefa prover um modelo para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar um SGSI cabe à ISO
27001. A alternativa III é falsa pois o modelo PDCA é adotado na ISO 27001. Fonte: Cap
2, pag. 8,9,10
c. F,V,V,F
d. F,V,V,V
e. F,F,V,F
Feedback
Questão 8
Correto
Marcar questão
Texto da questão

Escolha uma:
a. Engloba a identificação dos ativos da organização e define as responsabilidades
apropriadas para a proteção dos mesmos.
b. O acesso físico às instalações e à infraestrutura de apoio deve ser monitorizado e

restrito.
c. Evidencia que é necessário garantir que a segurança da informação é parte

integrante de todo o ciclo de vida dos sistemas de informação.
Tema: Norma NBR ISO/IEC 27002:2013, opção (D). Os controles descritos no tópico de
aquisição, desenvolvimento e manutenção de sistemas deixam claro que a integração
com o ciclo de vida completo de sistemas é parte fundamental da aplicação da norma
em uma organização. Fonte: Cap 2, pag. 10
d. Nesta seção são abordados aspectos de orientação para assegurar o uso efetivo e
adequado da criptografia.
e. Engloba a identificação dos ativos da organização e define as responsabilidades
apropriadas para a proteção dos mesmos.
Feedback

informação é parte integrante de todo o ciclo de vida dos sistemas de informação..
Questão 9
Incorreto
Marcar questão
Texto da questão
Quanto à segurança em datacenter, é correto afirmar que:
Escolha uma:
a. Não é necessário o investimento maciço em segurança de datacenter, visto que as

aplicações desenvolvidas atualmente possuem mecanismos de proteção suficientes
para garantia da segurança da informação.
b. Tornou-se obsoleto, visto que o armazenamento em nuvem substituiu a

Segurança em datacenter, opção (C)Os requisitos básicos de segurança devem ser
seguidos para garantia da segurança das informações que os datacenters armazenam.
c. A instalação de um firewall é suficiente para garantia de segurança em datacenter.
d. A segurança em datacenter é regida pela norma BS7799.
e. Possui quatro requisitos de segurança básicos, sendo eles: controle de acesso,

manutenção periódica, prostração contra danos e refrigeração do ambiente.
Feedback

controle de acesso, manutenção periódica, prostração contra danos e refrigeração do
ambiente..
Questão 10
Incorreto
Marcar questão
Texto da questão
Quanto ao ITIL, considere as afirmações, analise sua veracidade (V =

É o padrão atual da indústria para implantar o gerenciamento de serviços
de TI.
Escolha uma:
a. V,V,F,F
Introdução ao ITIL, opção (C). A alternativas II e III são verdadeiras. A alternativa I é
falsa pois foi o governo britânico que iniciou tal padronização. A alternativa IV é falsa
pois a ITIL é descrita em dois componentes básicos: núcleo do ITIL e guias
b. F,V,V,F
c. V,V,V,F
d. F,V,F,V
e. V,F,V,F
Feedback
Questão 1
Incorreto
Marcar questão
Texto da questão
Quanto à classificação dos ativos da informação, assinale a alternativa que

natureza do ativo:
Escolha uma:
a. Empregados, ferramentas de desenvolvimento, planos de continuidade.
Os ativos da informação são a própria informação somada a qualquer componente
que a sustenta ou se utiliza dela. Este componente pode ser humano, tecnológico,
hardware, software, entre outros. O grupo de ativos cuja natureza é física engloba
somente objetos físicos que sustentam a informação. Fonte: Cap 1, pag. 7,8
c. Contratos, empregados e sistemas operacionais.
d. Equipamentos de comunicação, sistemas operacionais e aplicativos.
Feedback
Questão 2
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. Implantação de controles para resolução de vulnerabilidades
Divulgação, características e benefícios da política de segurança da informação
b. Maior segurança nos processos, através da implementação de novos
d. Padronização dos procedimentos e conformidade com padrões de segurança

(normas ISO/IEC).
e. Retorno do investimento por meio de redução de problemas e incidentes.
Feedback
A resposta correta é: Retorno do investimento por meio de redução de problemas e

incidentes..
Questão 3
Correto
Marcar questão
Texto da questão

Escolha uma:
a. É nesta fase que serão formalizados os procedimentos junto à alta administração.
b. É a efetiva implantação das políticas, normas e procedimentos através de

preparação de material promocional, divulgação constante, conscientização das
responsabilidades, realização de palestras de modo que todo o público-alvo possa
compreender e ser convencido a segui-las.
c. Nesta fase serão obtidas informações iniciais sobre os ambientes de negócios, bem
como o entendimento das necessidades e uso dos recursos tecnológicos nos
processos da instituição.
A primeira fase para o desenvolvimento e implementação das políticas, normas e
procedimentos de segurança da informação em uma organização é a fase de
levantamento de informações. Não há como prosseguir para as outras fases sem o
entendimento completo sobre o ambiente, regras de negócio e processos de uma
d. É a fase de mudança de cultura que inclui comportamentos que comprometem a

e. Fase que envolve aspectos como a classificação das informações, atribuição de
regras e responsabilidades e, descrição de procedimentos que envolvem a TI como um
todo.
Feedback
A resposta correta é: Nesta fase serão obtidas informações iniciais sobre os ambientes
de negócios, bem como o entendimento das necessidades e uso dos recursos
tecnológicos nos processos da instituição..
Questão 4
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. Conhecimento, informação, dados.
b. Informação, conhecimento, dados.
c. Dados, informação, conhecimento.
d. Informação, dados, conhecimento.
e. Dados, conhecimento, informação.

Conceitos básicos de segurança da informação, opção (C) À medida que o nível de
abstração aumenta, é gerado valor agregado sobre os dados brutos, transformando-
se em informação, e posteriormente em conhecimento. Fonte: Cap 1, pag. 1,2
Feedback
Questão 5
Incorreto
Marcar questão
Texto da questão
Quanto à norma NBR/ISO 27002:2013, considere as afirmações, analise sua

correspondente:
O objetivo desta norma é prover um modelo para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar
um Sistema de Gestão de Segurança da Informação (SGSI).
27002.
A certificação é feita para pessoa física.
Escolha uma:
a. F,V,V,F
b. F,F,V,F
Tema: Norma NBR/ISO 27002:2013, opção (C). A alternativas II e IV são verdadeiras. A
alternativa I é falsa pois a tarefa prover um modelo para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar um SGSI cabe à ISO
27001. A alternativa III é falsa pois o modelo PDCA é adotado na ISO 27001. Fonte: Cap
2, pag. 8,9,10
c. F,V,V,V
d. F,V,F,V
e. V,F,V,V
Feedback
Questão 6
Incorreto
Marcar questão
Texto da questão
Sobre o “Anexo A” da norma NBR ISO/IEC 27001:2013, assinale a afirmativa

correta:
Escolha uma:
a. Trata-se do detalhamento da abordagem Plan-Do-Check-Act (PDCA).
b. Trata-se da descrição de controles com os mesmos nomes dos controles da norma

ISO 27002.
c. Trata-se de um guia para obter a certificação da norma ISO 27001.
d. Trata-se de um glossário completo com termos técnicos fundamentais para o

entendimento da norma.
Tema: Norma NBR/ISO 27001:2013, opção (A). O Anexo A da ISO 27001 apresenta forte
relacionamento com a norma ISO 27002. Neste anexo os controles são apresentados
em apenas uma frase, porém na norma ISO 27002 os mesmos controles são
detalhados em páginas inteiras. Fonte: Cap 2, pag. 9
e. Trata-se da descrição detalhada de como implementar um Sistema de Gestão de

Segurança da Informação (SGSI).
Feedback
A resposta correta é: Trata-se da descrição de controles com os mesmos nomes dos

controles da norma ISO 27002..
Questão 7
Incorreto
Marcar questão
Texto da questão

afirmar:
Escolha uma:
a. A implantação de um SGSI pode contribuir muito para a garantia da reputação de
uma organização.
b. Se a organização tem uma necessidade simples, isto requer uma solução simples
de SGSI.
c. Na prática, quando uma instituição implanta a norma ISO 27001 acaba por
constituir um SGSI.
Tema: Norma NBR/ISO 27001:2013, opção (E). A aplicação do SGSI é de fundamental
importância tanto para o setor público como para o setor privado. Fonte: Cap 2, pag.
3,4
d. É o resultado da aplicação planejada de objetivos, diretrizes, políticas,

procedimentos, modelos e outras medidas administrativas que, de forma conjunta,
definem como são reduzidos os riscos para a segurança da informação.
e. Um SGSI é de fundamental importância para empresas do setor privado, porém não

se aplica ao setor público.
Feedback
A resposta correta é: Um SGSI é de fundamental importância para empresas do setor

privado, porém não se aplica ao setor público..
Questão 8
Incorreto
Marcar questão
Texto da questão

tópico:
Escolha uma:
b. Glossário completo com termos técnicos fundamentais.
d. Referências indispensável para a aplicação da norma.

Tema: Norma NBR ISO/IEC 27001:2013, opção (C). A avaliação de desempenho,
aplicação da norma ISO 27001, importante pelo seu caráter crítico da aplicabilidade da
norma. Fonte: Cap 2, pag. 8
e. Etapas de monitoramento, medição e análise bem como auditoria interna e análise

crítica por parte da alta administração.
Feedback
Questão 9
Incorreto
Marcar questão
Texto da questão

usado apenas para fins profissionais, a empresa poderá monitorar o
Independente de aviso prévio, a empresa jamais poderá monitorar o
correio eletrônico de um funcionário, podendo a mesma responder ação
judicial na Justiça do Trabalho.
Escolha uma:
a. V,F,V
b. V,V,F
c. F,F,V
Tema: Titularidade das informações, opção (B). A alternativas I e II são verdadeiras. A
alternativa III é falsa pois é direito da empresa monitorar o correio eletrônico de um
funcionário, visto que à ela pertence as informações armazenadas em seus ambientes
computacionais, devendo a empresa avisar previamente e regular o uso do email
corporativo. Fonte: Cap 3, pag. 2
d. V,V,V
e. F,V,F
Feedback
Questão 10
Incorreto
Marcar questão
Texto da questão
Quanto à segurança em datacenter, é correto afirmar que:
Escolha uma:
a. A instalação de um firewall é suficiente para garantia de segurança em datacenter.
b. Não é necessário o investimento maciço em segurança de datacenter, visto que as

aplicações desenvolvidas atualmente possuem mecanismos de proteção suficientes
para garantia da segurança da informação.
c. A segurança em datacenter é regida pela norma BS7799.

Segurança em datacenter, opção (C)Os requisitos básicos de segurança devem ser
seguidos para garantia da segurança das informações que os datacenters armazenam.
d. Tornou-se obsoleto, visto que o armazenamento em nuvem substituiu a

e. Possui quatro requisitos de segurança básicos, sendo eles: controle de acesso,

manutenção periódica, prostração contra danos e refrigeração do ambiente.
Feedback

controle de acesso, manutenção periódica, prostração contra danos e refrigeração do
ambiente..
Questão 1
Incorreto
Marcar questão
Texto da questão

usuário.
Escolha uma:
a. I e II, apenas.
Tema: Software malicioso.A alternativas I, II e IV são verdadeiras. A alternativa III é
falsa pois o ransomware é uma categoria de malware perigosa, que efetua o
b. IV, apenas.
c. I e IV, apenas.
d. I,II e IV apenas
e. I,II,III,IV.
Feedback
Questão 2
Correto
Marcar questão
Texto da questão
Quanto à segurança no tratamento de mídias, é correto afirmar:
Escolha uma:
a. Sempre que uma mídia de armazenamento seja descartada, deve-se considerar o
uso de procedimentos para assegurar a eliminação adequada da informação.
Tema: Segurança no tratamento de mídias.É preciso considerar que as informações
armazenadas em mídias podem conter conteúdo confidencial, portanto não devem
ser descartadas sem o devido cuidado com a segurança da informação. Fonte: Cap 3,
pag. 24,25
b. Uma das boas práticas, no caso de mídias ópticas, é a utilização de ferramentas de
formatação de baixo nível.
c. Não existem normas que tratam do descarte de mídias de forma segura.
d. O descarte correto de mídias é minuciosamente tratado na norma ISO 31000.
e. Quanto menor o nível de classificação da informação, maior deverá ser a garantia

de que as informações não podem ser recuperadas após a eliminação.
Feedback

deve-se considerar o uso de procedimentos para assegurar a eliminação adequada da
informação..
Questão 3
Incorreto
Marcar questão
Texto da questão
Sobre política de backup é correto afirmar:
Escolha uma:
a. A guarda de backup em local físico diferente da sede de uma organização não é
recomendada, visto a dificuldade de recuperação em caso de desastre.
b. Backup em discos são mais seguros do que backup em fitas.

De um modo geral as políticas de backup consistem em capturar um backup completo
inicial de dados em disco e/ou fita, seguido de uma série de backups diários
incrementais ou diferenciais.
c. Backups completos devem ser realizados diariamente.
d. De um modo geral as políticas de backup consistem em capturar um backup

completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários
e. Somente dados críticos necessitam de backup.
Feedback
A resposta correta é: De um modo geral as políticas de backup consistem em capturar
um backup completo inicial de dados em disco e/ou fita, seguido de uma série de
backups diários incrementais ou diferenciais..
Questão 4
Incorreto
Marcar questão
Texto da questão
Sobre tipos de backup é correto afirmar:
Escolha uma:
a. Os backups incrementais realizam apenas backup dos dados que foram alterados
desde a última tarefa de backup.
b. Os backups incrementais consistem em backups de todos os dados que foram

alterados desde o último backup completo.
Tema: Política de backup e restore.A estratégia de backups diferenciais ou
necessidades da organização. Backups diferenciais são cópias de todos os dados que
foram alterados desde o último backup completo, diferentemente do incremental
onde são copiados apenas os dados que foram alterados desde a última tarefa de
backup. Fonte: Cap 3, pag. 18,19
c. Os backups diferenciais realizam apenas backup dos dados que foram alterados
desde a última tarefa de backup.
d. Backup completo é a soma de um backup diferencial com um backup incremental.
e. Os backups diferenciais são mais seguros que os backups incrementais.
Feedback
A resposta correta é: Os backups incrementais realizam apenas backup dos dados que
foram alterados desde a última tarefa de backup..
Questão 5
Incorreto
Marcar questão
Texto da questão

II-A PKI é um sistema criptográfico simétrico.
de chaves: chave pública e chave privada, através de um certificado digital.
descriptografar a assinatura. Se a chave pública não puder descriptografar
a assinatura (através da comparação dos hashes), isso significa que a
Escolha uma:
a. III, apenas.
Tema: Assinatura Digital.A alternativas I, III e IV são verdadeiras. A alternativa II é falsa
pois a PKI é um sistema criptográfico assimétrico, que utiliza o par de chaves (pública e
privada). Fonte: Cap 4, pag. 21,22,23.
c. I,II,III,IV.
d. II e IV, apenas.
e. I,II e III, apenas.
Feedback
Questão 6
Incorreto
Marcar questão
Texto da questão

social, EXCETO:
Escolha uma:
a. Exigir que qualquer prestador de serviço seja cadastrado e identificado
apropriadamente.
Tema: Engenharia Social.A defesa contra a engenharia social é alcançada com a
implementação de boas práticas de segurança que auxiliem na proteção da empresa,
não existindo um software específico para tal ação. Fonte: Cap 5, pag. 7,8
b. Investir em software específico disponível para proteger uma empresa contra a

engenharia social.
c. Implementar tecnologias de identificação de chamadas de/ou para o suporte.
d. Investir em equipamento triturador.
e. Estabelecer um padrão para que as senhas nunca sejam pronunciadas por telefone.
Feedback
A resposta correta é: Investir em software específico disponível para proteger uma

empresa contra a engenharia social..
Questão 7
Incorreto
Marcar questão
Texto da questão

afirmar:
Escolha uma:
b. É baseado em controles, para servir como referência a uma organização que deseja
ter uma governança de TI mais controlada.
c. É o padrão atual da indústria para implantar o gerenciamento de serviços de TI.

Tema: Introdução ao gerenciamento de riscos em segurança da informação.As
prejudiciais aos resultados, pois sua ocorrência pode afetar as operações do negócio,
por isto a importância do gerenciamento de riscos em uma organização. Fonte: Cap 6,
pag. 1
d. É um conjunto de políticas, procedimentos e vários outros controles que definem as

regras de segurança da informação em uma organização.
e. É o processo que habilita os administradores a identificar, priorizar e avaliar os
custos operacionais de implantação de medidas de proteção aos sistemas de
informação, bem como os dados que dão suporte à missão de uma organização.
Feedback
A resposta correta é: É o processo que habilita os administradores a identificar,

priorizar e avaliar os custos operacionais de implantação de medidas de proteção aos
sistemas de informação, bem como os dados que dão suporte à missão de uma
organização..
Questão 8
Incorreto
Marcar questão
Texto da questão
Quanto a certificados digitais, NÃO é correto afirmar:
Escolha uma:
a. O certificado é assinado por alguém em quem o proprietário deposita sua
confiança, ou seja, uma autoridade certificadora (Certification Authority - CA),
funcionando como uma espécie de “cartório virtual”.
b. O certificado digital contém, além da chave pública, informações sobre seu

proprietário, como nome, endereço e outros dados pessoais.
Tema: Certificados digitais.Os certificados digitais são emitidos pelas Autoridades
Certificadoras (AC) e Autoridades de Registro (AR). Fonte: Cap 4, pag. 20,21
c. Existem autoridades certificadores abaixo do ICP-Brasil, como por exemplo Serpro,

Certsign, Serasa Experian.
d. No Brasil, o órgão da autoridade certificadora raiz é o ICP-Brasil.
e. O certificado digital só pode ser emitido por uma Autoridade Certificadora Raiz (AC-
Raiz).
Feedback
A resposta correta é: O certificado digital só pode ser emitido por uma Autoridade
Certificadora Raiz (AC-Raiz)..
Questão 9
Incorreto
Marcar questão
Texto da questão
Quanto ao gerenciamento de riscos em segurança da informação, a etapa

de identificação de vulnerabilidades apresenta os seguintes aspectos,
EXCETO:
Escolha uma:
a. Orienta quanto aos procedimentos a fim de evitar violação de quaisquer obrigações
legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da
informação e de quaisquer requisitos de segurança.
b. Um exemplo de vulnerabilidade que pode ser citado é o fato dos usuários

demitidos não serem bloqueados nos sistemas de informação.
Tema: Avaliação de riscos.A sentença descrita na opção não apresenta relação com a
etapa de identificação de vulnerabilidades. Fonte: Cap 6, pag. 7,8
c. Os métodos proativos, que empregam testes de segurança do sistema, podem ser

usados para identificar eficientemente as vulnerabilidades.
d. Nesta etapa são identificadas as vulnerabilidades do sistema que podem ser

exploradas pelas potenciais fontes de ameaças.
e. Existem testes que podem auxiliar nesta tarefa, como por exemplo testes de
invasão ativos (pentest).
Feedback
A resposta correta é: Orienta quanto aos procedimentos a fim de evitar violação de

quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas
à segurança da informação e de quaisquer requisitos de segurança..
Questão 10
Correto
Marcar questão
Texto da questão
informação, é correto afirmar:
Escolha uma:
a. A metodologia de gerenciamento de riscos não pode ser integrada ao CVDS.
b. O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa

para cada fase principal do CVDS.
Tema: Gerenciamento de riscos em segurança da informação aplicado ao CVDS.Um
processo iterativo é um processo que se repete diversas vezes para se chegar a um
resultado parcial, que pode ser utilizado no próximo ciclo. Isto pode ser aplicado ao
gerenciamento de riscos para cada ciclo do CVDS. Fonte: Cap 6, pag. 2,3
c. O gerenciamento de riscos é um processo que deve ser realizado de forma única

d. Na fase 4 do CVDS (operação ou manutenção), os riscos identificados são usados

para suportar o desenvolvimento dos requisitos do sistema, incluindo os requisitos de
segurança, e conceitos de segurança de operações.
e. Na fase 2 do CVDS (desenvolvimento ou aquisição), as atividades de gerenciamento

de risco são executadas para componentes do sistema que serão descartados ou
substituídos.
Feedback
A resposta correta é: O gerenciamento de riscos é um processo que pode ser realizado

de forma iterativa para cada fase principal do CVDS..
Questão 1
Correto
Marcar questão
Texto da questão
Quanto a conceitos complementares de criptografia, selecione a alternativa

Escolha uma:
a. Consiste de verificação sistemática de todas as possíveis chaves e senhas até que as
corretas sejam encontradas. No pior dos casos, isto envolveria percorrer todo o
espaço de busca.
Tema: Criptografia.O ataque de força bruta também é conhecido como busca
b. É um ataque que necessita alto poder de processamento, não sendo possível

realiza-lo com um computador doméstico.
d. É um ataque que consiste na tentativa de reverter um algoritmo de chave simétrico.
e. É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e caracteres

especiais.
Feedback
A resposta correta é: Consiste de verificação sistemática de todas as possíveis chaves e

senhas até que as corretas sejam encontradas. No pior dos casos, isto envolveria
percorrer todo o espaço de busca..
Questão 2
Correto
Marcar questão
Texto da questão
Quanto aos softwares antivírus, é correto afirmar:
Escolha uma:
a. Uma assinatura de vírus é baseada em um segmento único de código-fonte dentro
do malware.
Tema: Proteção contra software malicioso.O software antivírus reconhece o programa
como vírus ao efetuar a comparação entre o código-fonte do programa em execução
com a sua base de dados de assinaturas de vírus. Fonte: Cap 4, pag. 3
b. Os vírus são criados pelas próprias empresa de antivírus, que visam o lucro pela
venda de suas ferramentas.
c. É um tipo de malware.
d. Funciona somente com detecção de assinatura de malware estática.
Feedback
A resposta correta é: Uma assinatura de vírus é baseada em um segmento único de
código-fonte dentro do malware..
Questão 3
Incorreto
Marcar questão
Texto da questão

I O fator de conhecimento inclui algo que o usuário sabe, como por
exemplo, uma senha.
Escolha uma:
a. I, somente.
Tema: Política de senhas. A alternativas I e IV são verdadeiras. A alternativa II é falsa
pois o token é um fator de posse. A alternativa III é falsa pois o PIN é um fator de
conhecimento. Fonte: Cap 3, pag. 16
b. I, III e IV, somente.
d. I e IV, somente.
e. IV, somente.
Feedback
Questão 4
Incorreto
Marcar questão
Texto da questão

seguro, podemos elencar algumas boas práticas de programação. Assinale
a alternativa que contém algumas destas boas práticas:
Escolha uma:
a. Operar com menos privilégio, minimizar o uso de strings inseguras e funções de
buffer, tratar entrada e saída de dados.
b. Utilizar criptografia fraca, operar com menos privilégio, tratar entrada e saída de
dados.
c. Utilizar registros de acesso (log) e rastreamento, utilizar concatenações de strings

para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca.
Tema: Segurança no desenvolvimento de software.Operar com menos privilégio
auxilia na redução de danos, caso o sistema seja comprometido. A utilização de strings
inseguras e funções de buffer deve ser evitada, pois apresentam vulnerabilidades de
corrupção de memória. As entradas e saídas de dados devem ser validadas a fim de
rejeitar dados em não-conformidade. Fonte: Cap 4, pag. 7,8,9
d. Maximizar o uso de strings inseguras e funções de buffer, operar com menos

privilégio, evitar concatenações de strings para cláusulas de SQL dinâmicas.
e. Operar com menos privilégio, utilizar concatenações de strings para cláusulas de

SQL dinâmicas, evitar o uso de criptografia fraca.
Feedback

inseguras e funções de buffer, tratar entrada e saída de dados..
Questão 5
Incorreto
Marcar questão
Texto da questão
Quanto ao ciclo de vida da Engenharia Social, é correto afirmar:

Escolha uma:
a. A etapa de manipulação psicológica é a etapa de levantamento de informações

sobre o(s) alvo(s) e o ambiente circunvizinho a este.

engenharia social.
Tema: Engenharia Social.E etapa de relação de confiança é a fase imediatamente após
a fase de levantamento de informações (coleta), onde o atacante procura ganhar a
confiança da vítima. Fonte: Cap 5, pag. 2,3
c. A coleta é uma fase pós-ataque, onde o engenheiro social utiliza a informação

obtida para fins ilícitos.
d. A etapa de relação de confiança é a fase na qual o atacante passa a desenvolver um

relacionamento com o alvo, uma vez que estes possíveis alvos foram enumerados.
e. Não existe ciclo de vida de um ataque de engenharia social, visto que cada ataque é
único.
Feedback
A resposta correta é: A etapa de relação de confiança é a fase na qual o atacante passa

a desenvolver um relacionamento com o alvo, uma vez que estes possíveis alvos
foram enumerados..
Questão 6
Incorreto
Marcar questão
Texto da questão
Sobre forense computacional, é correto afirmar que:
Escolha uma:
a. A área de forense computacional não possui ligação com crimes cibernéticos, sendo
restrita somente a incidentes de segurança que não envolvam quebra de leis.
b. Quando ocorre um incidente de segurança em uma empresa, não é necessário

observar procedimentos de preservação de evidências.
Tema: Forense computacional.A ciência forense computacional é bastante utilizada no
universo jurídico, visto que trata-se de produção de provas em ações cíveis e criminais.
c. Não é possível recuperar informações a partir de fragmentos de arquivos.

d. A aplicação de metodologias forenses pode ser aplicada por qualquer usuário leigo,
não necessitando de peritos especialistas nesta área.
e. A área de forense computacional consiste no uso de métodos científicos para

preservação, coleta, validação, identificação, análise, interpretação, documentação e
apresentação de evidência digital com validade probatória em juízo.
Feedback
A resposta correta é: A área de forense computacional consiste no uso de métodos

científicos para preservação, coleta, validação, identificação, análise, interpretação,
documentação e apresentação de evidência digital com validade probatória em juízo..
Questão 7
Incorreto
Marcar questão
Texto da questão
Um dos profissionais especialistas em segurança da informação tem um

segurança, é o denominado Security Officer, ou agente de segurança. As
sentenças abaixo destacam as qualificações de um Security Officer,
EXCETO:
Escolha uma:
a. Capacidade de conciliar os interesses de segurança com os interesses do negócio.
Tema: Papel dos profissionais da segurança da informação.A alternativa é incorreta
pois não faz parte dos requisitos básicos deste profissional o domínio de técnicas de
engenharia social. Fonte: Cap 5, pag. 10,11,12
b. Certificações e especializações na área de segurança da informação.
c. Excelente capacidade de comunicação.
d. Familiaridade com termos e conceitos da área.
e. Dominar técnicas de engenharia social.
Feedback
Questão 8
Correto
Marcar questão
Texto da questão

afirmar:
Escolha uma:
a. É o padrão atual da indústria para implantar o gerenciamento de serviços de TI.
b. É um conjunto de políticas, procedimentos e vários outros controles que definem as

regras de segurança da informação em uma organização.
c. É um sistema de apoio à decisão para o negócio de uma organização.
d. É baseado em controles, para servir como referência a uma organização que deseja
ter uma governança de TI mais controlada.
e. É o processo que habilita os administradores a identificar, priorizar e avaliar os

custos operacionais de implantação de medidas de proteção aos sistemas de
informação, bem como os dados que dão suporte à missão de uma organização.
Tema: Introdução ao gerenciamento de riscos em segurança da informação.As
prejudiciais aos resultados, pois sua ocorrência pode afetar as operações do negócio,
por isto a importância do gerenciamento de riscos em uma organização. Fonte: Cap 6,
pag. 1
Feedback
A resposta correta é: É o processo que habilita os administradores a identificar,

priorizar e avaliar os custos operacionais de implantação de medidas de proteção aos
sistemas de informação, bem como os dados que dão suporte à missão de uma
organização..
Questão 9
Incorreto
Marcar questão
Texto da questão
gerenciamento de riscos em segurança da informação, é correto afirmar:
Escolha uma:
b. Se o projeto do sistema não é vulnerável, o risco é existente.
c. Se o projeto do sistema é vulnerável e explorável, o risco é inexistente.

Tema: Estratégia de mitigação de riscos, Quando o custo do ataque é menor do que o
ganho o risco é aceitável pois um atacante terá baixo interesse em prosseguir com o
ataque. Fonte: Cap 6, pag. 16
d. Se o projeto do sistema é vulnerável e não explorável, o risco é existente.
Feedback
A resposta correta é: Se o custo do ataque é menor que o ganho, então o risco não é
aceitável..
Questão 10
Incorreto
Marcar questão
Texto da questão

informação, é correto afirmar:
Escolha uma:
a. Na fase 4 do CVDS (operação ou manutenção), os riscos identificados são usados
para suportar o desenvolvimento dos requisitos do sistema, incluindo os requisitos de
segurança, e conceitos de segurança de operações.
b. Na fase 2 do CVDS (desenvolvimento ou aquisição), as atividades de gerenciamento

de risco são executadas para componentes do sistema que serão descartados ou
substituídos.
Tema: Gerenciamento de riscos em segurança da informação aplicado ao CVDS.Um
processo iterativo é um processo que se repete diversas vezes para se chegar a um
resultado parcial, que pode ser utilizado no próximo ciclo. Isto pode ser aplicado ao
gerenciamento de riscos para cada ciclo do CVDS. Fonte: Cap 6, pag. 2,3
c. O gerenciamento de riscos é um processo que deve ser realizado de forma única
d. O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa

e. A metodologia de gerenciamento de riscos não pode ser integrada ao CVDS.
Feedback
A resposta correta é: O gerenciamento de riscos é um processo que pode ser realizado

de forma iterativa para cada fase principal do CVDS..
Questão 1
Incorreto
Marcar questão
Texto da questão

usuário.
Escolha uma:
a. I e II, apenas.
b. I e IV, apenas.
c. IV, apenas.
Tema: Software malicioso.A alternativas I, II e IV são verdadeiras. A alternativa III é
falsa pois o ransomware é uma categoria de malware perigosa, que efetua o
d. I,II,III,IV.
e. I,II e IV apenas
Feedback
Questão 2
Incorreto
Marcar questão
Texto da questão
Sobre política de backup é correto afirmar:
Escolha uma:
a. A guarda de backup em local físico diferente da sede de uma organização não é
recomendada, visto a dificuldade de recuperação em caso de desastre.
b. Backups completos devem ser realizados diariamente.

De um modo geral as políticas de backup consistem em capturar um backup completo
inicial de dados em disco e/ou fita, seguido de uma série de backups diários
c. Backup em discos são mais seguros do que backup em fitas.
d. De um modo geral as políticas de backup consistem em capturar um backup

completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários
e. Somente dados críticos necessitam de backup.
Feedback
A resposta correta é: De um modo geral as políticas de backup consistem em capturar

um backup completo inicial de dados em disco e/ou fita, seguido de uma série de
backups diários incrementais ou diferenciais..
Questão 3
Correto
Marcar questão
Texto da questão

seguro, podemos elencar algumas boas práticas de programação. Assinale
a alternativa que contém algumas destas boas práticas:
Escolha uma:
a. Operar com menos privilégio, minimizar o uso de strings inseguras e funções de
buffer, tratar entrada e saída de dados.
Tema: Segurança no desenvolvimento de software.Operar com menos privilégio
auxilia na redução de danos, caso o sistema seja comprometido. A utilização de strings
inseguras e funções de buffer deve ser evitada, pois apresentam vulnerabilidades de
corrupção de memória. As entradas e saídas de dados devem ser validadas a fim de
rejeitar dados em não-conformidade. Fonte: Cap 4, pag. 7,8,9
b. Operar com menos privilégio, utilizar concatenações de strings para cláusulas de

SQL dinâmicas, evitar o uso de criptografia fraca.
c. Utilizar criptografia fraca, operar com menos privilégio, tratar entrada e saída de
dados.
d. Utilizar registros de acesso (log) e rastreamento, utilizar concatenações de strings

para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca.
e. Maximizar o uso de strings inseguras e funções de buffer, operar com menos

privilégio, evitar concatenações de strings para cláusulas de SQL dinâmicas.
Feedback

inseguras e funções de buffer, tratar entrada e saída de dados..
Questão 4
Correto
Marcar questão
Texto da questão
Quanto à segurança no tratamento de mídias, é correto afirmar:
Escolha uma:
a. Não existem normas que tratam do descarte de mídias de forma segura.
b. Uma das boas práticas, no caso de mídias ópticas, é a utilização de ferramentas de

formatação de baixo nível.
c. Quanto menor o nível de classificação da informação, maior deverá ser a garantia
de que as informações não podem ser recuperadas após a eliminação.
d. Sempre que uma mídia de armazenamento seja descartada, deve-se considerar o

uso de procedimentos para assegurar a eliminação adequada da informação.
Tema: Segurança no tratamento de mídias.É preciso considerar que as informações
armazenadas em mídias podem conter conteúdo confidencial, portanto não devem
ser descartadas sem o devido cuidado com a segurança da informação. Fonte: Cap 3,
pag. 24,25
e. O descarte correto de mídias é minuciosamente tratado na norma ISO 31000.
Feedback

deve-se considerar o uso de procedimentos para assegurar a eliminação adequada da
informação..
Questão 5
Incorreto
Marcar questão
Texto da questão
Sobre forense computacional, é correto afirmar que:
Escolha uma:
a. Não é possível recuperar informações a partir de fragmentos de arquivos.
b. A aplicação de metodologias forenses pode ser aplicada por qualquer usuário leigo,
não necessitando de peritos especialistas nesta área.
c. Quando ocorre um incidente de segurança em uma empresa, não é necessário

observar procedimentos de preservação de evidências.
Tema: Forense computacional.A ciência forense computacional é bastante utilizada no
universo jurídico, visto que trata-se de produção de provas em ações cíveis e criminais.
d. A área de forense computacional não possui ligação com crimes cibernéticos, sendo
restrita somente a incidentes de segurança que não envolvam quebra de leis.
e. A área de forense computacional consiste no uso de métodos científicos para

preservação, coleta, validação, identificação, análise, interpretação, documentação e
apresentação de evidência digital com validade probatória em juízo.
Feedback
A resposta correta é: A área de forense computacional consiste no uso de métodos

científicos para preservação, coleta, validação, identificação, análise, interpretação,
documentação e apresentação de evidência digital com validade probatória em juízo..
Questão 6
Incorreto
Marcar questão
Texto da questão
Um dos profissionais especialistas em segurança da informação tem um

segurança, é o denominado Security Officer, ou agente de segurança. As
sentenças abaixo destacam as qualificações de um Security Officer,
EXCETO:
Escolha uma:
a. Capacidade de conciliar os interesses de segurança com os interesses do negócio.
Tema: Papel dos profissionais da segurança da informação.A alternativa é incorreta
pois não faz parte dos requisitos básicos deste profissional o domínio de técnicas de
engenharia social. Fonte: Cap 5, pag. 10,11,12
b. Certificações e especializações na área de segurança da informação.
d. Familiaridade com termos e conceitos da área.
e. Excelente capacidade de comunicação.
Feedback
Questão 7
Incorreto
Marcar questão
Texto da questão

II-A PKI é um sistema criptográfico simétrico.
de chaves: chave pública e chave privada, através de um certificado digital.
descriptografar a assinatura. Se a chave pública não puder descriptografar
a assinatura (através da comparação dos hashes), isso significa que a
Escolha uma:
a. II e IV, apenas.
Tema: Assinatura Digital.A alternativas I, III e IV são verdadeiras. A alternativa II é falsa
pois a PKI é um sistema criptográfico assimétrico, que utiliza o par de chaves (pública e
privada). Fonte: Cap 4, pag. 21,22,23.
c. I,II,III,IV.
d. I,II e III, apenas.
e. III, apenas.
Feedback
Questão 8
Correto
Marcar questão
Texto da questão

social, EXCETO:
Escolha uma:
a. Exigir que qualquer prestador de serviço seja cadastrado e identificado
apropriadamente.
b. Estabelecer um padrão para que as senhas nunca sejam pronunciadas por telefone.
c. Investir em software específico disponível para proteger uma empresa contra a

engenharia social.
Tema: Engenharia Social.A defesa contra a engenharia social é alcançada com a
implementação de boas práticas de segurança que auxiliem na proteção da empresa,
não existindo um software específico para tal ação. Fonte: Cap 5, pag. 7,8
d. Implementar tecnologias de identificação de chamadas de/ou para o suporte.
e. Investir em equipamento triturador.
Feedback
A resposta correta é: Investir em software específico disponível para proteger uma

empresa contra a engenharia social..
Questão 9
Correto
Marcar questão
Texto da questão

gerenciamento de riscos em segurança da informação, é correto afirmar:
Escolha uma:
a. Se o projeto do sistema é vulnerável e explorável, o risco é inexistente.
b. Se o projeto do sistema não é vulnerável, o risco é existente.
c. Se o custo do ataque é maior que o ganho, então o risco não é aceitável.
d. Se o projeto do sistema é vulnerável e não explorável, o risco é existente.
e. Se o custo do ataque é menor que o ganho, então o risco não é aceitável.

Tema: Estratégia de mitigação de riscos, Quando o custo do ataque é menor do que o
ganho o risco é aceitável pois um atacante terá baixo interesse em prosseguir com o
ataque. Fonte: Cap 6, pag. 16
Feedback
A resposta correta é: Se o custo do ataque é menor que o ganho, então o risco não é
aceitável..
Questão 10
Incorreto
Marcar questão
Texto da questão
Quanto ao gerenciamento de riscos em segurança da informação, a etapa

de identificação de vulnerabilidades apresenta os seguintes aspectos,
EXCETO:
Escolha uma:
a. Um exemplo de vulnerabilidade que pode ser citado é o fato dos usuários
demitidos não serem bloqueados nos sistemas de informação.
b. Os métodos proativos, que empregam testes de segurança do sistema, podem ser

usados para identificar eficientemente as vulnerabilidades.
c. Nesta etapa são identificadas as vulnerabilidades do sistema que podem ser

exploradas pelas potenciais fontes de ameaças.
d. Existem testes que podem auxiliar nesta tarefa, como por exemplo testes de
invasão ativos (pentest).
Tema: Avaliação de riscos.A sentença descrita na opção não apresenta relação com a
etapa de identificação de vulnerabilidades. Fonte: Cap 6, pag. 7,8
e. Orienta quanto aos procedimentos a fim de evitar violação de quaisquer obrigações

legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da
informação e de quaisquer requisitos de segurança.
Feedback
A resposta correta é: Orienta quanto aos procedimentos a fim de evitar violação de

quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas
à segurança da informação e de quaisquer requisitos de segurança..
Questão 1
Incorreto
Marcar questão
Texto da questão

a norma:
Escolha uma:
a. ISO 19011
b. ISO 9002
Tema: Auditoria e padrões ISSO. A Norma ISO 19011:2011 não estabelece requisitos,
mas fornece diretrizes sobre a gestão de um programa de auditoria, sobre o
planejamento e a realização de uma auditoria de sistema de gestão, bem como sobre
a competência e avaliação de um auditor e de uma equipe auditora. Fonte: Cap 8 pag.
15,16
c. ISO 27002
d. ISO 9001
e. ISO 27001
Feedback
Questão 2
Correto
Marcar questão
Texto da questão

necessária ao proprietário que delega um patrimônio para ser gerido por
um terceiro. Assinale a alternativa que apresenta o conceito de auditoria:
Escolha uma:
a. É o processo de assegurar se o desenvolvimento, implantação e manutenção de
sistemas atingem os objetivos de negócio, segurança dos itens de informação e
mantem a integridade dos dados.
Tema: Objetivos da auditoria. A auditoria de sistemas de informação deve assegurar a
validade, confiabilidade, e segurança da informação, garantindo também a integridade
dos dados contidos nos sistemas. Fonte: Cap 7, pag. 6
b. É o processo que visa implementar os controles contidos no COBIT, entre eles

confidencialidade, integridade e disponibilidade.
c. É o processo que implementa a teoria da agência.
d. É o processo que verifica somente informações da área contábil.
e. É o um instrumento de governança com o intuito de verificar se os interesses do

agente (gestor do patrimônio do proprietário) estão sendo atendidos.
Feedback
A resposta correta é: É o processo de assegurar se o desenvolvimento, implantação e

manutenção de sistemas atingem os objetivos de negócio, segurança dos itens de
informação e mantem a integridade dos dados..
Questão 3
Incorreto
Marcar questão
Texto da questão
Uma das principais associações que auxiliam os profissionais auditores de

sistemas de informação, responsável pela certificação CISA (Certified
Escolha uma:
a. COBIT
b. INMETRO
Tema: Associações e certificações. A certificação CISA é mantida pela ISACA, uma
associação que auxilia profissionais em todo o mundo atuando no desenvolvimento
de metodologias e certificações. Fonte: Cap 7, pag. 17
c. ACL
d. ISACA
e. ISSO
Feedback
Questão 4
Incorreto
Marcar questão
Texto da questão
Quanto ao perfil do auditor de sistemas de informação, NÃO é correto

afirmar que:
Escolha uma:
a. A ISACA mantém um código de ética, o qual serve como um balizador para as ações
do auditor. Para associados que desrespeitam a este código, as ações podem resultar
em investigação e medidas disciplinares.
b. O auditor deve servir aos interesses do contratante e partes envolvidas de uma

maneira objetiva e condizente com a legislação vigente.
c. Deve efetuar uma avaliação equilibrada de todas as circunstâncias relevantes e não

indevidamente influenciados pelos interesses próprios ou de terceiros.
Tema: Auditor – perfil e ética. A é incorreta pois para a execução dos trabalhos,
inevitavelmente o auditor terá acesso a informações sigilosas sobre a empresa. Fonte:
Cap 7, pag. 11,12
e. O auditor de sistemas de informação, durante a execução do seu trabalho, não terá

acesso a informações sigilosas sobre a empresa, portanto não é necessário zelo
excessivo com a confidencialidade.
Feedback
A resposta correta é: O auditor de sistemas de informação, durante a execução do seu

trabalho, não terá acesso a informações sigilosas sobre a empresa, portanto não é
necessário zelo excessivo com a confidencialidade..
Questão 5
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. Antes das transações serem executadas, os resultados de teste esperado são
predeterminados, para que os resultados reais possam ser comparados com os
resultados predeterminados.
b. Esta técnica envolve o uso de um conjunto de dados especialmente projetados e

preparados com o objetivo de testar as funcionalidades de entrada de dados no
sistema.
Tema: Técnicas de auditoria de sistemas de informação. A alternativa é incorreta pois
quanto mais combinações de transações puderem ser feitas no arquivo de carga,
maior será a cobertura do teste. Fonte: Cap 9 pag. 2
c. Quanto menos combinações de transações puderem ser feitas no arquivo de carga,

maior será a cobertura do teste.
d. Os tipos gerais de condições que devem ser testados incluem, mas não se limitam
a: testes de transações que ocorrem normalmente e testes usando dados inválidos.
e. Não é necessário um avançado conhecimento de informática para a elaboração dos

dados, o qual pode ser feito inclusive utilizando-se de softwares automatizados que
tornam a tarefa mais simples.
Feedback
A resposta correta é: Quanto menos combinações de transações puderem ser feitas

no arquivo de carga, maior será a cobertura do teste..
Questão 6
Correto
Marcar questão
Texto da questão

denominada:
Escolha uma:
a. ISACA.
Tema: Relatório de auditoria de sistemas de informação. Acrônimo para Information
System Audit and Control Association (Associação de Auditoria e Controle de Sistemas
de Informação). Uma associação que auxilia profissionais em todo o mundo atuando
no desenvolvimento de metodologias e certificações.
b. INMETRO.
c. ISO.
d. IEEE.
e. INTOSAI.
Feedback
Questão 7
Incorreto
Marcar questão
Texto da questão
auditoria de sistemas de informação é a etapa de verificação de integridade
Escolha uma:
a. Os auditores começam o projeto com uma caneta e papel escrevendo de forma
clara e inequívoca as declarações dos objetivos do projeto.
c. Os totais numéricos correspondem aos totais de controle fornecidos pelo

d. O auditor informa ao software ACL como ler e interpretar os dados que ele contém.
Tema: Ferramentas de auditoria de sistemas de informação. Uma das formas de
verificar a integridade dos dados é através da comparação entre os totais numéricos
obtidos e os totais numéricos de controle. Fonte: Cap 10 pag. 7,8
e. O auditor considera o meio no qual receberá os dados e a capacidade do servidor

de rede ou unidade de disco local.
Feedback

Questão 8
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. Fornece uma explicação de alto nível sobre como a auditoria foi realizada para cada
objetivo.
d. Identifica os itens a serem avaliados pela auditoria.
e. Descreve o tipo de auditoria e o que está a ser auditado.

Tema: Relatório de auditoria de sistemas de informação. Além de fornecer explicação
de alto nível a seção de metodologia deve identificar a natureza e a extensão do
trabalho, os critérios, as fontes de critérios, a dependência do trabalho de outros
profissionais, o tipo de análise realizada e a base para as conclusões. Fonte: Cap 9 pag.
19
Feedback
A resposta correta é: Fornece uma explicação de alto nível sobre como a auditoria foi
realizada para cada objetivo..
Questão 9
Correto
Marcar questão
Texto da questão
em que são obtidos acesso físico e lógico identificando a localização e o
Escolha uma:
c. Analisar os dados.
d. Verificar a integridade dos dados.
e. Adquirir os dados.
Tema: Ferramentas de auditoria de sistemas de informação. Os dados de origem
podem estar em um computador mainframe, um minicomputador ou um computador
pessoal. Podem ter qualquer estrutura de registro, uma variedade de tipos de dados e
podem estar em disco rígido, pendrives ou outros dispositivos de armazenamento.
Fonte: Cap 10 pag. 4
Feedback
Questão 10
Incorreto
Marcar questão
Texto da questão
Consideram as afirmações:
I - “O software Audit Command Language faz parte da categoria de
softwares especializados em auditoria, visto que possui diversas
funcionalidades, podendo ler bases de dados de diversos formatos.”
III - As ferramentas específicas de auditoria de SI possuem a vantagem de
serem desenvolvidas para uma demanda específica, por isso a eficiência da
ferramenta é muito maior do que um software generalista, além de ter
custo baixo de produção, visto que possui menos funcionalidades que
necessitam ser desenvolvidas.
Podemos dizer que:
Escolha uma:
a. II e III são falsas

Comentário: I - O software especializado é desenvolvido para a execução de uma
tarefa específica, diferentemente do software generalista, capaz de realizar tarefas
diversificadas. II - Estas são características presentes no software Pentana. III -
Comentários: O custo de desenvolvimento de uma ferramenta específica costuma ser
oneroso, visto que trata-se de um software que atenderá somente a um cliente. Fonte:
capítulo 10
b. I, II e III são verdadeiras
c. Somente II e III são verdadeiras
d. I, II e III são falsas
Feedback
Questão 1
Incorreto
Marcar questão
Texto da questão
Quanto à conceitos complementares relacionados a auditoria de sistemas

de informação, o exame independente e objetivo afirma que:
Escolha uma:
a. A auditoria deve ser realizada somente por órgãos governamentais, como o TCU.
Tema: Conceitos complementares de auditoria de sistemas de informação. É de
fundamental importância a imparcialidade do auditor, visto que o contrário pode
b. A auditoria deve ser realizada por pessoas com independência em relação ao seu
objeto, de modo a assegurar imparcialidade no julgamento.
c. A auditoria deve ser realizada pelo agente (gestor do patrimônio do principal).
d. A auditoria deve ser baseada na norma NBR ISO/IEC 27001:2013.

e. A auditoria deve ser realizada por pessoas que tenham profundo conhecimento das
regras de negócio, de modo a assegurar a fidelidade no julgamento.
Feedback
A resposta correta é: A auditoria deve ser realizada por pessoas com independência
em relação ao seu objeto, de modo a assegurar imparcialidade no julgamento..
Questão 2
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. Execução, Conclusão, Revisão.
Tema: Abordagens de auditoria de sistemas de informação. Para a execução do
planejamento é primordial estar definido o enfoque, abrangência e delimitação dos
sistemas a participarem da auditoria de sistemas de informação. A fase de execução é
centrada na coleta, análise e avaliação e documentação da informação relevante.
Finalmente, a fase de conclusão tem como objetivo comunicar os resultados da
auditoria. Fonte: Cap 8 pag. 2,3
b. Planejamento, Conclusão, Revisão.
c. Planejamento, Execução, Conclusão.
d. Entrevistas, Planejamento, Execução.
e. Planejamento, Entrevistas, Revisão.
Feedback
Questão 3
Incorreto
Marcar questão
Texto da questão

de TI descritos no COBIT, e pode ser traduzido como Guia de Auditoria de
TI. Assinale a alternativa que apresenta o órgão responsável por este guia:
Escolha uma:
a. ISACA
b. INMETRO.
c. ISSO
d. TCU
e. INTOSAI
Tema: ISACA,opção (C). A ISACA disponibiliza alguns guias importantes entre eles o IT
Assurance Guide. O título pode ser traduzido como Guia de Avaliação de TI. Focado na
avaliação dos controles internos de TI descritos no COBIT. No título é usado o termo
Assurance, ou avaliação este termo é mais abrangente do que o termo auditoria, no
entanto a auditoria é um tipo de avaliação. Fonte: Cap 8 pag. 13
Feedback
Questão 4
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. INTOSAI
b. ISSO
c. TCU
d. IEEE.
e. INMETRO
Tema: Ciclo de Auditoria Operacional – TCU. O TCU propõe no Ciclo de Auditoria
Operacional (ANOp) uma abordagem para avaliação com foco na gestão pública. A
abordagem do TCU é fortemente influenciada pela INTOSAI, e pelas normas
internacionais de entidades fiscalizadoras superiores (ISSAI). Fonte: Cap 8 pag. 8
Feedback
Questão 5
Incorreto
Marcar questão
Texto da questão
As ferramentas para auditoria de sistemas de informação são classificadas

categorias:
Escolha uma:
a. Ferramentas estatísticas, ferramentas generalistas e ferramentas especializadas.
b. Ferramentas generalistas, ferramentas especializadas e ferramentas de uso geral.
c. Ferramentas de banco de dados, ferramentas ACL e ferramentas de uso geral.

Tema: Ferramentas de auditoria de sistemas de informação. Ferramentas generalistas
possuem foco mais abrangente, ferramentas especializadas são desenvolvidas para
um fim específico, e ferramentas de uso geral servem como apoio ao trabalho de
auditoria. Fonte: Cap 10 pag. 1
e. Ferramentas especializadas, ferramentas ACL e ferramentas de uso geral.
Feedback

Questão 6
Correto
Marcar questão
Texto da questão

define o tom para toda a auditoria e fornece a oportunidade de estabelecer
eficazes.
Escolha uma:
a. II e III, somente.
Tema: Melhores práticas de auditoria de sistemas de informação. As alternativas II e III
são verdadeiras. A alternativa I é falsa pois não existe um único padrão de auditoria de
sistemas de informação, sendo inclusive uma dificuldade para os profissionais desta
área. Fonte: Cap 9 pag. 4,5,6
b. I, somente.
c. III, somente.
d. I,II,III.
e. I e II, somente.
Feedback
Questão 7
Incorreto
Marcar questão
Texto da questão

correta:
Escolha uma:
a. Esta técnica processa os dados reais do cliente por meio de um programa de
auditoria especialmente desenvolvido e que atende a toda a lógica necessária para o
teste, simulando as funcionalidades do programa em produção.
b. É uma técnica que consiste na análise de um arquivo de log do tipo sysadmin.
c. É uma técnica que consiste em incluir a lógica de auditoria nos sistemas na fase de
desenvolvimento.
Tema: Técnicas de auditoria de sistemas de informação. Nesta técnica, diferentemente
de outras, o auditor verifica o processamento de transações reais, permitindo que ele
verifique os resultados reais do cliente. Fonte: Cap 9 pag. 4
d. É uma técnica também conhecida como ITF.
Feedback
A resposta correta é: Esta técnica processa os dados reais do cliente por meio de um
programa de auditoria especialmente desenvolvido e que atende a toda a lógica
necessária para o teste, simulando as funcionalidades do programa em produção..
Questão 8
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. Os relatórios não são distribuídos a partes externas, como o público em geral ou
agências governamentais que têm autoridade reguladora sobre a entidade de
auditoria, visto que tratam de informações confidenciais das organizações.
b. O conteúdo do relatório deve ser suficientemente abrangente para permitir que o

mesmo seja independente.
Tema: Relatório de auditoria de sistemas de informação. A alternativa é incorreta pois
os relatórios também são distribuídos a partes externas, como o público em geral ou
c. O relatório é o principal meio de comunicar os resultados de uma auditoria ao

cliente ou entidade auditada.
d. O relatório pode ter um impacto significativo nas decisões de gestão relativas à

organização auditada e aos seus destinatários.
e. Os relatórios devem ajudar os auditados a compreender as questões de controle,

recomendações e o risco associado de não tomarem medidas corretivas.
Feedback

público em geral ou agências governamentais que têm autoridade reguladora sobre a
entidade de auditoria, visto que tratam de informações confidenciais das
organizações..
Questão 9
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. A ferramenta oferece a capacidade de importar quantidades massivas de dados de
fontes diversas, incluindo sistemas ERP, planilhas, mainframes com sistemas legados,
arquivos impressos, entre outros.
Tema: Ferramentas de auditoria de sistemas de informação. A ferramenta IDEA é uma
ferramenta generalista de auditoria de SI. Fonte: Cap 10 pag. 10
b. Trata-se de uma ferramenta específica de auditoria de SI, ou seja, desenvolvida
especificamente para execução de uma tarefa determinada.
c. O software IDEA inclui uma ferramenta de desenvolvimento conhecida como

IDEAScript para criar macros a fim de estender a funcionalidade do IDEA.
d. O software usa projetos para organizar os arquivos a serem auditados.
e. O IDEA permite criar dois tipos de projetos de área de trabalho local: Gerenciado e
Externo.
Feedback
A resposta correta é: Trata-se de uma ferramenta específica de auditoria de SI, ou seja,

desenvolvida especificamente para execução de uma tarefa determinada..
Questão 10
Incorreto
Marcar questão
Texto da questão

2.Adquirir os dados
4.Verificar a integridade dos dados
5.Analisar os dados
II - Identificar o objetivo em termos comerciais e técnicos.
IV - Obter acesso físico e lógico identificando a localização e o formato dos
V - Interrogar e manipular os dados para identificar exceções.
VI - Adicionar dados ao projeto como tabelas, que definem como a ACL lê os
dados de origem.
Escolha uma:
a. I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3
b. I – 4, II – 2, III – 3, IV – 1, V – 5, VI – 6
c. I – 1, II – 4, III – 2, IV – 6, V – 5, VI - 3
A) I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3, O projeto de auditoria desenvolvido com o
software ACL, via de regra, respeita todas as seis etapas descritas. Fonte: capítulo 10.
d. I – 5, II – 1, III –3, IV – 2, V – 4, VI – 6
e. I – 3, II – 2, III – 6, IV – 1, V – 5, VI – 4
Feedback
Questão 1
Incorreto
Marcar questão
Texto da questão
Uma das principais associações que auxiliam os profissionais auditores de

sistemas de informação, responsável pela certificação CISA (Certified
Escolha uma:
a. ACL
Tema: Associações e certificações. A certificação CISA é mantida pela ISACA, uma
associação que auxilia profissionais em todo o mundo atuando no desenvolvimento
de metodologias e certificações. Fonte: Cap 7, pag. 17
b. COBIT
c. ISSO
d. INMETRO
e. ISACA
Feedback

Questão 2
Incorreto
Marcar questão
Texto da questão

a norma:
Escolha uma:
a. ISO 27001
Tema: Auditoria e padrões ISSO. A Norma ISO 19011:2011 não estabelece requisitos,
mas fornece diretrizes sobre a gestão de um programa de auditoria, sobre o
planejamento e a realização de uma auditoria de sistema de gestão, bem como sobre
a competência e avaliação de um auditor e de uma equipe auditora. Fonte: Cap 8 pag.
15,16
b. ISO 27002
c. ISO 9001
d. ISO 19011
e. ISO 9002
Feedback
Questão 3
Incorreto
Marcar questão
Texto da questão

de TI descritos no COBIT, e pode ser traduzido como Guia de Auditoria de
TI. Assinale a alternativa que apresenta o órgão responsável por este guia:
Escolha uma:
a. INTOSAI
b. INMETRO.
c. TCU
Tema: ISACA,opção (C). A ISACA disponibiliza alguns guias importantes entre eles o IT
Assurance Guide. O título pode ser traduzido como Guia de Avaliação de TI. Focado na
avaliação dos controles internos de TI descritos no COBIT. No título é usado o termo
Assurance, ou avaliação este termo é mais abrangente do que o termo auditoria, no
entanto a auditoria é um tipo de avaliação. Fonte: Cap 8 pag. 13
d. ISACA
e. ISSO
Feedback
Questão 4
Incorreto
Marcar questão
Texto da questão

Escolha uma:
b. Planejamento, Entrevistas, Revisão.
d. Planejamento, Execução, Conclusão.

Tema: Abordagens de auditoria de sistemas de informação. Para a execução do
planejamento é primordial estar definido o enfoque, abrangência e delimitação dos
sistemas a participarem da auditoria de sistemas de informação. A fase de execução é
centrada na coleta, análise e avaliação e documentação da informação relevante.
Finalmente, a fase de conclusão tem como objetivo comunicar os resultados da
auditoria. Fonte: Cap 8 pag. 2,3
Feedback
Questão 5
Incorreto
Marcar questão
Texto da questão
auditoria de sistemas de informação é a etapa de verificação de integridade
Escolha uma:
a. O auditor informa ao software ACL como ler e interpretar os dados que ele contém.
b. Os auditores começam o projeto com uma caneta e papel escrevendo de forma

clara e inequívoca as declarações dos objetivos do projeto.
c. Os totais numéricos correspondem aos totais de controle fornecidos pelo

d. O auditor considera o meio no qual receberá os dados e a capacidade do servidor

de rede ou unidade de disco local.
Tema: Ferramentas de auditoria de sistemas de informação. Uma das formas de
verificar a integridade dos dados é através da comparação entre os totais numéricos
obtidos e os totais numéricos de controle. Fonte: Cap 10 pag. 7,8
e. O auditor adquire os dados para o projeto.
Feedback

Questão 6
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. Os relatórios devem ajudar os auditados a compreender as questões de controle,
recomendações e o risco associado de não tomarem medidas corretivas.
b. Os relatórios não são distribuídos a partes externas, como o público em geral ou

auditoria, visto que tratam de informações confidenciais das organizações.
c. O relatório pode ter um impacto significativo nas decisões de gestão relativas à

organização auditada e aos seus destinatários.
d. O relatório é o principal meio de comunicar os resultados de uma auditoria ao

cliente ou entidade auditada.
e. O conteúdo do relatório deve ser suficientemente abrangente para permitir que o

mesmo seja independente.
Tema: Relatório de auditoria de sistemas de informação. A alternativa é incorreta pois
os relatórios também são distribuídos a partes externas, como o público em geral ou
Feedback

público em geral ou agências governamentais que têm autoridade reguladora sobre a
entidade de auditoria, visto que tratam de informações confidenciais das
organizações..
Questão 7
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. Quanto menos combinações de transações puderem ser feitas no arquivo de carga,
maior será a cobertura do teste.
b. Os tipos gerais de condições que devem ser testados incluem, mas não se limitam
a: testes de transações que ocorrem normalmente e testes usando dados inválidos.
c. Antes das transações serem executadas, os resultados de teste esperado são

predeterminados, para que os resultados reais possam ser comparados com os
resultados predeterminados.
Tema: Técnicas de auditoria de sistemas de informação. A alternativa é incorreta pois
quanto mais combinações de transações puderem ser feitas no arquivo de carga,
maior será a cobertura do teste. Fonte: Cap 9 pag. 2
d. Esta técnica envolve o uso de um conjunto de dados especialmente projetados e

preparados com o objetivo de testar as funcionalidades de entrada de dados no
sistema.
e. Não é necessário um avançado conhecimento de informática para a elaboração dos

dados, o qual pode ser feito inclusive utilizando-se de softwares automatizados que
tornam a tarefa mais simples.
Feedback
A resposta correta é: Quanto menos combinações de transações puderem ser feitas

no arquivo de carga, maior será a cobertura do teste..
Questão 8
Correto
Marcar questão
Texto da questão

Escolha uma:
a. Fornece uma explicação de alto nível sobre como a auditoria foi realizada para cada
objetivo.
Tema: Relatório de auditoria de sistemas de informação. Além de fornecer explicação
de alto nível a seção de metodologia deve identificar a natureza e a extensão do
trabalho, os critérios, as fontes de critérios, a dependência do trabalho de outros
profissionais, o tipo de análise realizada e a base para as conclusões. Fonte: Cap 9 pag.
19
d. Identifica os itens a serem avaliados pela auditoria.
e. Descreve o tipo de auditoria e o que está a ser auditado.
Feedback
A resposta correta é: Fornece uma explicação de alto nível sobre como a auditoria foi
realizada para cada objetivo..
Questão 9
Incorreto
Marcar questão
Texto da questão

2.Adquirir os dados
4.Verificar a integridade dos dados
5.Analisar os dados
II - Identificar o objetivo em termos comerciais e técnicos.
IV - Obter acesso físico e lógico identificando a localização e o formato dos
V - Interrogar e manipular os dados para identificar exceções.
VI - Adicionar dados ao projeto como tabelas, que definem como a ACL lê os
dados de origem.
Escolha uma:
a. I – 5, II – 1, III –3, IV – 2, V – 4, VI – 6
A) I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3, O projeto de auditoria desenvolvido com o
software ACL, via de regra, respeita todas as seis etapas descritas. Fonte: capítulo 10
b. I – 1, II – 4, III – 2, IV – 6, V – 5, VI - 3
c. I – 3, II – 2, III – 6, IV – 1, V – 5, VI – 4
d. I – 4, II – 2, III – 3, IV – 1, V – 5, VI – 6
e. I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3
Feedback
Questão 10
Incorreto
Marcar questão
Texto da questão

Escolha uma:
a. O IDEA permite criar dois tipos de projetos de área de trabalho local: Gerenciado e
Externo.
b. A ferramenta oferece a capacidade de importar quantidades massivas de dados de

fontes diversas, incluindo sistemas ERP, planilhas, mainframes com sistemas legados,
arquivos impressos, entre outros.
Tema: Ferramentas de auditoria de sistemas de informação. A ferramenta IDEA é uma
ferramenta generalista de auditoria de SI. Fonte: Cap 10 pag. 10
c. Trata-se de uma ferramenta específica de auditoria de SI, ou seja, desenvolvida

especificamente para execução de uma tarefa determinada.
d. O software usa projetos para organizar os arquivos a serem auditados.
e. O software IDEA inclui uma ferramenta de desenvolvimento conhecida como

IDEAScript para criar macros a fim de estender a funcionalidade do IDEA.
Feedback
A resposta correta é: Trata-se de uma ferramenta específica de auditoria de SI, ou seja,

desenvolvida especificamente para execução de uma tarefa determinada..

Iniciado em
sábado, 10 Nov 2018, 23:50
Estado
Finalizada
Concluída em
sábado, 10 Nov 2018, 23:51
Nota
2,00 de um máximo de 10,00(20%)
Questão 1 
Correto

Escolha uma:
b. Quando é gerado valor agregado à informação.

 O ciclo de vida da informação é composto de seis etapas: obtenção,
tratamento, armazenamento, distribuição, uso e descarte. O uso é a etapa mais
importante, pois é quanto é gerado valor agregado à informação, podendo gerar
informações gerenciais que podem ser utilizadas para tomadas de decisões, entre
outros propósitos. Fonte: Cap 1, pag. 9,10
d. Quando é realizado algum tipo de organização ou formatação da

informação.
A resposta correta é: Quando é gerado valor agregado à informação.. 
Questão 2 
Incorreto

Escolha uma:
a. É a efetiva implantação das políticas, normas e procedimentos através de

b. É a fase de mudança de cultura que inclui comportamentos que

 A primeira fase para o desenvolvimento e implementação das políticas,

administração.

d. Nesta fase serão obtidas informações iniciais sobre os ambientes de

e. Fase que envolve aspectos como a classi cação das informações,


Questão 3 
Incorreto


Escolha uma:
a. V,V,V,V,V
b. V,F,V,F,V
c. V,F,V,V,F
 A alternativas I, III e V são verdadeiras. A alternativa II é falsa pois o ataque é a
exploração de uma falha por um agente. A alternativa IV é falsa pois a ameaça é a 
d. F,F,V,F,V
e. F,F,V,F,V
Questão 4 
Incorreto

Escolha uma:
a. Não-considerável, importante, relevante, crítico e vital.

c. Relevante, não-considerável, importante, vital e crítico. 
d. Não-considerável, relevante, importante, crítico e vital.
e. Importante, crítico, vital, não considerável e relevante.
Questão 5 
Incorreto

a rmar:
Escolha uma:
a. Se a organização tem uma necessidade simples, isto requer uma solução

simples de SGSI.
b. É o resultado da aplicação planejada de objetivos, diretrizes, políticas,

informação.
 Tema: Norma NBR/ISO 27001:2013, opção (E). A aplicação do SGSI é de
c. A implantação de um SGSI pode contribuir muito para a garantia da




Questão 6 
Incorreto

Escolha uma:
a. Pessoas que devem colaborar e trabalhar em conjunto a m de garantir

que a TI esteja inclusa na abordagem de governança e gestão.
b. Pessoas ou grupos que possuem investimento ou interesse no negócio.
c. Grupo responsável pela governança e o gerenciamento de informações

de uma organização.
 Tema: Princípios do COBIT, opção (A). O termo inglês stakeholders é muito
utilizado no COBIT e outras normas, no sentido original da palavra stake signi ca
interesse ou participação, e holder signi ca aquele que possui. Podem ser pessoas
ou organizações afetadas diretamente pelos projetos e processos de uma empresa.
d. São os gestores executivos de uma empresa.
e. Pessoas que ajudam a alcançar os objetivos da empresa. 
A resposta correta é: Pessoas ou grupos que possuem investimento ou interesse

no negócio..
Questão 7 
Incorreto

Escolha uma:
a. IEEE 802.1
 Tema: Introdução às normas e padrões de segurança da informação, opção
b. ISO 9001
c. BS7750
d. ISO 14001
e. BS7799


Questão 8 
Correto

tópico:
Escolha uma:
a. Incentiva a melhoria contínua através de constantes ações corretivas.
c. Etapas de monitoramento, medição e análise bem como auditoria

e. Descreve os objetivos gerais e a aplicação da norma.

Questão 9 
Incorreto

Escolha uma:
a. A maioria dos incidentes de segurança da informação ocorrem no

ambiente interno das organizações.
b. Cabe à equipe de TI disponibilizar aos colaboradores (funcionários ou

terceiros) somente os recursos tecnológicos que irão auxiliá-los no
desempenho de suas funções e execução de seus trabalhos.
 Tema: Utilização dos recursos de TI, opção (D). Os usuários nais não devem
ter acesso privilegiado para instalação de aplicativos em suas estações de trabalho,
visto que tal prática por representar riscos, como a instalação de malwares, pois o
usuário nal não possui, via de regra, conhecimento técnico su ciente para evitar
tais incidentes. Fonte: Cap 3, pag. 1
c. Os usuários nais devem ter acesso privilegiado para instalação de

softwares, visto que tal prática não representa risco signi cativo à
d. É de fundamental importância que a organização possua uma política de 

utilização dos recursos de TI bem de nida.
e. Os colaboradores da instituição devem ter ciência de que o uso dos

recursos tecnológicos deve ser feito apenas para atividades diretamente
relacionadas aos negócios da organização.
A resposta correta é: Os usuários nais devem ter acesso privilegiado para

instalação de softwares, visto que tal prática não representa risco signi cativo à
segurança da informação..
Questão 10 
Incorreto


TI.


Escolha uma:
a. F,V,V,F
b. F,V,F,V
 Introdução ao ITIL, opção (C). A alternativas II e III são verdadeiras. A alternativa
falsa pois a ITIL é descrita em dois componentes básicos: núcleo do ITIL e guias 
complementares.Fonte: Cap 2, pag. 16
c. V,V,F,F
d. V,V,V,F
e. V,F,V,F

Iniciado em
sábado, 10 Nov 2018, 23:52
Estado
Finalizada
Concluída em
sábado, 10 Nov 2018, 23:53
Nota
4,00 de um máximo de 10,00(40%)
Questão 1 
Incorreto

Escolha uma:
a. É a capacidade de provar que um usuário foi responsável por

determinada ação.
b. É a garantia de que a informação armazenada é verdadeira e não está

corrompida.
 Tema: Pilares de segurança da informação, opção (E) A con dencialidade
c. É a propriedade que garante que a informação está de acordo com a


e. É a propriedade de que a informação deve estar disponível sempre que

alguém autorizado, no exercício de suas funções, necessitar dela. 

Questão 2 
Incorreto

Escolha uma:
a. Informação, dados, conhecimento.
b. Dados, conhecimento, informação.
c. Conhecimento, informação, dados.

 Conceitos básicos de segurança da informação, opção (C) À medida que o nível
de abstração aumenta, é gerado valor agregado sobre os dados brutos,
transformando-se em informação, e posteriormente em conhecimento. Fonte: Cap
1, pag. 1,2
d. Dados, informação, conhecimento.
e. Informação, conhecimento, dados.


Questão 3 
Correto

Escolha uma:
a. Padronização dos procedimentos e conformidade com padrões de

segurança (normas ISO/IEC).
b. Retorno do investimento por meio de redução de problemas e

incidentes.
 Divulgação, características e benefícios da política de segurança da informação
d. Implantação de controles para resolução de vulnerabilidades
e. Maior segurança nos processos, através da implementação de novos 

A resposta correta é: Retorno do investimento por meio de redução de

problemas e incidentes..
Questão 4 
Incorreto

natureza do ativo:
Escolha uma:
a. Equipamentos de comunicação, sistemas operacionais e aplicativos.
c. Empregados, ferramentas de desenvolvimento, planos de continuidade.

 Os ativos da informação são a própria informação somada a qualquer
pag. 7,8
d. Contratos, empregados e sistemas operacionais.

Questão 5 
Correto

Escolha uma:
a. Engloba a identi cação dos ativos da organização e de ne as

b. Evidencia que é necessário garantir que a segurança da informação é

parte integrante de todo o ciclo de vida dos sistemas de informação.
 Tema: Norma NBR ISO/IEC 27002:2013, opção (D). Os controles descritos no
tópico de aquisição, desenvolvimento e manutenção de sistemas deixam claro que
a integração com o ciclo de vida completo de sistemas é parte fundamental da
aplicação da norma em uma organização. Fonte: Cap 2, pag. 10
c. Nesta seção são abordados aspectos de orientação para assegurar o uso

efetivo e adequado da criptogra a.
d. Engloba a identi cação dos ativos da organização e de ne as


e. O acesso físico às instalações e à infraestrutura de apoio deve ser
monitorizado e restrito.

informação é parte integrante de todo o ciclo de vida dos sistemas de
informação..
Questão 6 
Incorreto
Sobre o “Anexo A” da norma NBR ISO/IEC 27001:2013, assinale a a rmativa

correta:
Escolha uma:
a. Trata-se de um glossário completo com termos técnicos fundamentais

para o entendimento da norma.
b. Trata-se de um guia para obter a certi cação da norma ISO 27001.

 Tema: Norma NBR/ISO 27001:2013, opção (A). O Anexo A da ISO 27001
apresenta forte relacionamento com a norma ISO 27002. Neste anexo os controles
são apresentados em apenas uma frase, porém na norma ISO 27002 os mesmos
controles são detalhados em páginas inteiras. Fonte: Cap 2, pag. 9
c. Trata-se da descrição detalhada de como implementar um Sistema de

d. Trata-se da descrição de controles com os mesmos nomes dos controles

da norma ISO 27002.
e. Trata-se do detalhamento da abordagem Plan-Do-Check-Act (PDCA).


A resposta correta é: Trata-se da descrição de controles com os mesmos nomes
dos controles da norma ISO 27002..
Questão 7 
Correto

correspondente:


27002.
Escolha uma:
a. F,V,V,V
b. F,V,F,V
27001. Fonte: Cap 2, pag. 8,9,10
c. F,V,V,F
d. V,F,V,V
e. F,F,V,F
Questão 8 
Incorreto

Escolha uma:
a. ISO 27001 e ISO 27009
b. ISO 27009 e ISO 27013

 Tema: Introdução às normas e padrões de segurança da informação, opção (E).
A norma ISO 27001 é a principal norma que uma organização deve utilizar como
base para obter a certi cação empresarial em gestão da segurança da informação
sendo a única norma internacional que de ne os requisitos para um Sistema de
Gestão de Segurança da Informação (SGSI) e a ISO 27002 é um conjunto completo
de controles que auxiliam a aplicação do SGSI. Fonte: Cap 2, pag. 2
c. ISO 27001 e ISO 27002
d. ISO 27009 e ISO 27017
e. ISO 27007 e ISO 27009


Questão 9 
Incorreto




Escolha uma:
a. V,V,F
b. V,V,V
c. F,F,V
d. F,V,F
e. V,F,V
Questão 10 
Correto
Quanto à segurança em datacenter, é correto a rmar que:
Escolha uma:
a. A segurança em datacenter é regida pela norma BS7799.
b. Possui quatro requisitos de segurança básicos, sendo eles: controle de

acesso, manutenção periódica, prostração contra danos e refrigeração do
ambiente.
 Segurança em datacenter, opção (C)Os requisitos básicos de segurança devem
ser seguidos para garantia da segurança das informações que os datacenters
armazenam. Fonte: Cap 3, pag. 3,4
c. Tornou-se obsoleto, visto que o armazenamento em nuvem substituiu a

d. Não é necessário o investimento maciço em segurança de datacenter,

visto que as aplicações desenvolvidas atualmente possuem mecanismos de
proteção su cientes para garantia da segurança da informação.
e. A instalação de um rewall é su ciente para garantia de segurança em

datacenter. 

controle de acesso, manutenção periódica, prostração contra danos e
refrigeração do ambiente..

Iniciado em
sábado, 10 Nov 2018, 23:54
Estado
Finalizada
Concluída em
sábado, 10 Nov 2018, 23:57
Nota
8,00 de um máximo de 10,00(80%)
Questão 1 
Correto

natureza do ativo:
Escolha uma:
a. Mídias magnéticas, impressoras e desktops.

 Os ativos da informação são a própria informação somada a qualquer
pag. 7,8
b. Contratos, empregados e sistemas operacionais.
c. Equipamentos de comunicação, sistemas operacionais e aplicativos.
d. Empregados, ferramentas de desenvolvimento, planos de continuidade.
e. Sistemas operacionais, servidores, desktops e notebooks.

Questão 2 
Incorreto

Escolha uma:
a. Vital, crítico, importante, relevante e não-considerável.
b. Importante, crítico, vital, não considerável e relevante.

que pode levar à falência da mesma. Fonte: Cap 1, pag. 16,17 
d. Relevante, não-considerável, importante, vital e crítico.
Questão 3 
Correto

Escolha uma:
a. Fase que envolve aspectos como a classi cação das informações,

b. Nesta fase serão obtidas informações iniciais sobre os ambientes de

 A primeira fase para o desenvolvimento e implementação das políticas,

administração.

d. É a fase de mudança de cultura que inclui comportamentos que



Questão 4 
Correto

Escolha uma:
a. É a propriedade que garante que a informação está de acordo com a

b. É a propriedade de que a informação deve estar disponível sempre que

alguém autorizado, no exercício de suas funções, necessitar dela.
c. É a garantia de que a informação armazenada é verdadeira e não está

corrompida.

 Tema: Pilares de segurança da informação, opção (E) A con dencialidade
e. É a capacidade de provar que um usuário foi responsável por

determinada ação. 

Questão 5 
Correto

a rmar:
Escolha uma:
a. A implantação de um SGSI pode contribuir muito para a garantia da

b. Se a organização tem uma necessidade simples, isto requer uma solução

simples de SGSI.
c. É o resultado da aplicação planejada de objetivos, diretrizes, políticas,

informação.


 Tema: Norma NBR/ISO 27001:2013, opção (E). A aplicação do SGSI é de 

Questão 6 
Correto

Escolha uma:
a. BS7750
b. BS7799
 Tema: Introdução às normas e padrões de segurança da informação, opção
c. ISO 14001
d. IEEE 802.1
e. ISO 9001


Questão 7 
Correto

correspondente:


27002.
Escolha uma:
a. F,V,V,V
b. F,V,F,V
27001. Fonte: Cap 2, pag. 8,9,10
c. V,F,V,V
d. F,V,V,F
e. F,F,V,F
Questão 8 
Correto

tópico:
Escolha uma:
e. Etapas de monitoramento, medição e análise bem como auditoria


Questão 9 
Incorreto




Escolha uma:
a. V,V,F
b. F,V,F
c. V,F,V
d. V,V,V
e. F,F,V
Questão 10 
Correto


TI.


Escolha uma:
a. V,F,V,F
b. V,V,F,F
c. F,V,V,F
 Introdução ao ITIL, opção (C). A alternativas II e III são verdadeiras. A alternativa 
falsa pois a ITIL é descrita em dois componentes básicos: núcleo do ITIL e guias
d. V,V,V,F
e. F,V,F,V

Iniciado em
sábado, 10 Nov 2018, 23:57
Estado
Finalizada
Concluída em
sábado, 10 Nov 2018, 23:58
Nota
3,00 de um máximo de 10,00(30%)
Questão 1 
Incorreto
Sobre tipos de backup é correto a rmar:
Escolha uma:
a. Os backups incrementais consistem em backups de todos os dados que

foram alterados desde o último backup completo.
b. Backup completo é a soma de um backup diferencial com um backup

incremental.
 Tema: Política de backup e restore.A estratégia de backups diferenciais ou
necessidades da organização. Backups diferenciais são cópias de todos os dados
que foram alterados desde o último backup completo, diferentemente do
incremental onde são copiados apenas os dados que foram alterados desde a
última tarefa de backup. Fonte: Cap 3, pag. 18,19
c. Os backups diferenciais são mais seguros que os backups incrementais.
d. Os backups incrementais realizam apenas backup dos dados que foram

e. Os backups diferenciais realizam apenas backup dos dados que foram 

A resposta correta é: Os backups incrementais realizam apenas backup dos

dados que foram alterados desde a última tarefa de backup..
Questão 2 
Incorreto
I O fator de conhecimento inclui algo que o usuário sabe, como por exemplo,
uma senha.
Escolha uma:
a. I e IV, somente.
b. IV, somente.
 Tema: Política de senhas. A alternativas I e IV são verdadeiras. A alternativa II é
falsa pois o token é um fator de posse. A alternativa III é falsa pois o PIN é um fator
de conhecimento. Fonte: Cap 3, pag. 16


d. I, somente.
e. I, III e IV, somente.
Questão 3 
Incorreto

Escolha uma:
a. Operar com menos privilégio, minimizar o uso de strings inseguras e

funções de bu er, tratar entrada e saída de dados.
b. Utilizar criptogra a fraca, operar com menos privilégio, tratar entrada e

saída de dados.
c. Maximizar o uso de strings inseguras e funções de bu er, operar com

dinâmicas.
 Tema: Segurança no desenvolvimento de software.Operar com menos
Cap 4, pag. 7,8,9

d. Utilizar registros de acesso (log) e rastreamento, utilizar concatenações

fraca.
e. Operar com menos privilégio, utilizar concatenações de strings para


Questão 4 
Incorreto
Quanto à segurança no tratamento de mídias, é correto a rmar:
Escolha uma:
a. Quanto menor o nível de classi cação da informação, maior deverá ser a

garantia de que as informações não podem ser recuperadas após a
eliminação.
b. Uma das boas práticas, no caso de mídias ópticas, é a utilização de

ferramentas de formatação de baixo nível.
 Tema: Segurança no tratamento de mídias.É preciso considerar que as
informações armazenadas em mídias podem conter conteúdo con dencial,
portanto não devem ser descartadas sem o devido cuidado com a segurança da
informação. Fonte: Cap 3, pag. 24,25
c. Sempre que uma mídia de armazenamento seja descartada, deve-se

considerar o uso de procedimentos para assegurar a eliminação adequada
da informação.
d. O descarte correto de mídias é minuciosamente tratado na norma ISO

31000.

e. Não existem normas que tratam do descarte de mídias de forma segura.

deve-se considerar o uso de procedimentos para assegurar a eliminação
adequada da informação..
Questão 5 
Correto

a rmar:
Escolha uma:
b. É o padrão atual da indústria para implantar o gerenciamento de

serviços de TI.
c. É o processo que habilita os administradores a identi car, priorizar e

avaliar os custos operacionais de implantação de medidas de proteção aos
sistemas de informação, bem como os dados que dão suporte à missão de
uma organização.
 Tema: Introdução ao gerenciamento de riscos em segurança da informação.As
prejudiciais aos resultados, pois sua ocorrência pode afetar as operações do
negócio, por isto a importância do gerenciamento de riscos em uma organização.
d. É um conjunto de políticas, procedimentos e vários outros controles que

de nem as regras de segurança da informação em uma organização. 
e. É baseado em controles, para servir como referência a uma organização

que deseja ter uma governança de TI mais controlada.
A resposta correta é: É o processo que habilita os administradores a identi car,

priorizar e avaliar os custos operacionais de implantação de medidas de proteção
aos sistemas de informação, bem como os dados que dão suporte à missão de
uma organização..
Questão 6 
Incorreto
Quanto a certi cados digitais, NÃO é correto a rmar:
Escolha uma:
a. No Brasil, o órgão da autoridade certi cadora raiz é o ICP-Brasil.
b. O certi cado é assinado por alguém em quem o proprietário deposita

sua con ança, ou seja, uma autoridade certi cadora (Certi cation Authority
- CA), funcionando como uma espécie de “cartório virtual”.
 Tema: Certi cados digitais.Os certi cados digitais são emitidos pelas
Autoridades Certi cadoras (AC) e Autoridades de Registro (AR). Fonte: Cap 4, pag.
20,21
c. O certi cado digital contém, além da chave pública, informações sobre

seu proprietário, como nome, endereço e outros dados pessoais.
d. O certi cado digital só pode ser emitido por uma Autoridade

Certi cadora Raiz (AC-Raiz).
e. Existem autoridades certi cadores abaixo do ICP-Brasil, como por

exemplo Serpro, Certsign, Serasa Experian.

A resposta correta é: O certi cado digital só pode ser emitido por uma
Autoridade Certi cadora Raiz (AC-Raiz)..
Questão 7 
Correto



Escolha uma:

 Tema: Assinatura Digital.A alternativas I, III e IV são verdadeiras. A alternativa II 
c. III, apenas.
d. I,II,III,IV.
e. II e IV, apenas.
Questão 8 
Incorreto
Escolha uma:
a. A área de forense computacional consiste no uso de métodos cientí cos

em juízo.
b. A aplicação de metodologias forenses pode ser aplicada por qualquer

 Tema: Forense computacional.A ciência forense computacional é bastante
c. A área de forense computacional não possui ligação com crimes

d. Não é possível recuperar informações a partir de fragmentos de

arquivos.

e. Quando ocorre um incidente de segurança em uma empresa, não é

Questão 9 
Incorreto

Escolha uma:
a. Existem testes que podem auxiliar nesta tarefa, como por exemplo testes
de invasão ativos (pentest).
b. Um exemplo de vulnerabilidade que pode ser citado é o fato dos

 Tema: Avaliação de riscos.A sentença descrita na opção não apresenta relação

d. Nesta etapa são identi cadas as vulnerabilidades do sistema que podem

e. Os métodos proativos, que empregam testes de segurança do sistema,

podem ser usados para identi car e cientemente as vulnerabilidades. 

Questão 10 
Correto

Escolha uma:
a. Se o projeto do sistema é vulnerável e não explorável, o risco é existente.
b. Se o custo do ataque é menor que o ganho, então o risco não é aceitável.

 Tema: Estratégia de mitigação de riscos, Quando o custo do ataque é menor
d. Se o custo do ataque é maior que o ganho, então o risco não é aceitável.
e. Se o projeto do sistema é vulnerável e explorável, o risco é inexistente.


Iniciado em
sábado, 10 Nov 2018, 23:58
Estado
Finalizada
Concluída em
sábado, 10 Nov 2018, 23:58
Nota
1,00 de um máximo de 10,00(10%)
Questão 1 
Incorreto
Escolha uma:
a. Os vírus são criados pelas próprias empresa de antivírus, que visam o

b. Soluções gratuitas não oferecem proteção contra malwares.

 Tema: Proteção contra software malicioso.O software antivírus reconhece o
3
c. Funciona somente com detecção de assinatura de malware estática.
d. Uma assinatura de vírus é baseada em um segmento único de código-

e. É um tipo de malware.

Questão 2 
Incorreto

usuário.


Escolha uma:
a. I,II e IV apenas
b. IV, apenas.
 Tema: Software malicioso.A alternativas I, II e IV são verdadeiras. A alternativa

c. I e IV, apenas.
d. I,II,III,IV.
e. I e II, apenas.
Questão 3 
Incorreto
Sobre política de backup é correto a rmar:
Escolha uma:
a. A guarda de backup em local físico diferente da sede de uma organização

não é recomendada, visto a di culdade de recuperação em caso de
desastre.
b. De um modo geral as políticas de backup consistem em capturar um

backup completo inicial de dados em disco e/ou ta, seguido de uma série
de backups diários incrementais ou diferenciais.
c. Backup em discos são mais seguros do que backup em tas.

 De um modo geral as políticas de backup consistem em capturar um backup
completo inicial de dados em disco e/ou ta, seguido de uma série de backups
diários incrementais ou diferenciais.
d. Somente dados críticos necessitam de backup.
e. Backups completos devem ser realizados diariamente.
A resposta correta é: De um modo geral as políticas de backup consistem em 

capturar um backup completo inicial de dados em disco e/ou ta, seguido de
uma série de backups diários incrementais ou diferenciais..
Questão 4 
Incorreto

Escolha uma:
a. É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e

caracteres especiais.

simétrico.
 Tema: Criptogra a.O ataque de força bruta também é conhecido como busca

e. Consiste de veri cação sistemática de todas as possíveis chaves e senhas

percorrer todo o espaço de busca. 

Questão 5 
Correto
Escolha uma:
a. Não existe ciclo de vida de um ataque de engenharia social, visto que


engenharia social.




Questão 6 
Incorreto

Escolha uma:
a. Dominar técnicas de engenharia social.

 Tema: Papel dos pro ssionais da segurança da informação.A alternativa é
c. Certi cações e especializações na área de segurança da informação.
e. Capacidade de conciliar os interesses de segurança com os interesses do

negócio.

Questão 7 
Incorreto

social, EXCETO:
Escolha uma:
a. Estabelecer um padrão para que as senhas nunca sejam pronunciadas

por telefone.
b. Investir em software especí co disponível para proteger uma empresa

c. Implementar tecnologias de identi cação de chamadas de/ou para o

suporte.
 Tema: Engenharia Social.A defesa contra a engenharia social é alcançada com
7,8

apropriadamente.
e. Investir em equipamento triturador. 

Questão 8 
Incorreto



Escolha uma:
b. III, apenas.
 Tema: Assinatura Digital.A alternativas I, III e IV são verdadeiras. A alternativa II 
c. I, III e IV, apenas.
d. II e IV, apenas.
e. I,II,III,IV.
Questão 9 
Incorreto

Escolha uma:
a. Na fase 4 do CVDS (operação ou manutenção), os riscos identi cados são

operações.
b. A metodologia de gerenciamento de riscos não pode ser integrada ao

CVDS.
2,3.
c. Na fase 2 do CVDS (desenvolvimento ou aquisição), as atividades de


d. O gerenciamento de riscos é um processo que pode ser realizado de

e. O gerenciamento de riscos é um processo que deve ser realizado de


Questão 10 
Incorreto

Escolha uma:
b. Se o projeto do sistema é vulnerável e não explorável, o risco é existente.

 Tema: Estratégia de mitigação de riscos, Quando o custo do ataque é menor
d. Se o projeto do sistema é vulnerável e explorável, o risco é inexistente.


Iniciado em
sábado, 10 Nov 2018, 23:59
Estado
Finalizada
Concluída em
domingo, 11 Nov 2018, 00:02
Nota
9,00 de um máximo de 10,00(90%)
Questão 1 
Correto
Escolha uma:
a. Funciona somente com detecção de assinatura de malware estática.
b. É um tipo de malware.
c. Uma assinatura de vírus é baseada em um segmento único de código-

 Tema: Proteção contra software malicioso.O software antivírus reconhece o
3
d. Os vírus são criados pelas próprias empresa de antivírus, que visam o


Questão 2 
Correto

Escolha uma:
a. É um ataque onde são utilizadas senhas armazenadas em um dicionário.

simétrico.
c. Consiste de veri cação sistemática de todas as possíveis chaves e senhas

percorrer todo o espaço de busca.
 Tema: Criptogra a.O ataque de força bruta também é conhecido como busca

e. É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e

caracteres especiais. 

Questão 3 
Correto

Escolha uma:
a. Utilizar criptogra a fraca, operar com menos privilégio, tratar entrada e

saída de dados.
b. Operar com menos privilégio, utilizar concatenações de strings para

c. Utilizar registros de acesso (log) e rastreamento, utilizar concatenações

fraca.
d. Maximizar o uso de strings inseguras e funções de bu er, operar com

dinâmicas.
e. Operar com menos privilégio, minimizar o uso de strings inseguras e

funções de bu er, tratar entrada e saída de dados. 
 Tema: Segurança no desenvolvimento de software.Operar com menos
Cap 4, pag. 7,8,9

Questão 4 
Correto

usuário.


Escolha uma:
a. IV, apenas.
b. I e II, apenas.
c. I e IV, apenas.
d. I,II,III,IV. 
e. I,II e IV apenas
 Tema: Software malicioso.A alternativas I, II e IV são verdadeiras. A alternativa
Questão 5 
Correto
Escolha uma:
a. Quando ocorre um incidente de segurança em uma empresa, não é

b. Não é possível recuperar informações a partir de fragmentos de

arquivos.
c. A área de forense computacional consiste no uso de métodos cientí cos

em juízo.
 Tema: Forense computacional.A ciência forense computacional é bastante
d. A aplicação de metodologias forenses pode ser aplicada por qualquer

e. A área de forense computacional não possui ligação com crimes 


Questão 6 
Correto

Escolha uma:
a. Capacidade de conciliar os interesses de segurança com os interesses do

negócio.

 Tema: Papel dos pro ssionais da segurança da informação.A alternativa é
e. Certi cações e especializações na área de segurança da informação.

Questão 7 
Correto
Escolha uma:
a. A etapa de manipulação psicológica é o primeiro passo em um ataque de

engenharia social.
b. Não existe ciclo de vida de um ataque de engenharia social, visto que





Questão 8 
Correto

social, EXCETO:
Escolha uma:
a. Implementar tecnologias de identi cação de chamadas de/ou para o

suporte.
b. Investir em equipamento triturador.
c. Estabelecer um padrão para que as senhas nunca sejam pronunciadas

por telefone.

apropriadamente.
e. Investir em software especí co disponível para proteger uma empresa

 Tema: Engenharia Social.A defesa contra a engenharia social é alcançada com
7,8 

Questão 9 
Correto

Escolha uma:
a. Um exemplo de vulnerabilidade que pode ser citado é o fato dos

b. Nesta etapa são identi cadas as vulnerabilidades do sistema que podem


 Tema: Avaliação de riscos.A sentença descrita na opção não apresenta relação
d. Os métodos proativos, que empregam testes de segurança do sistema,

podem ser usados para identi car e cientemente as vulnerabilidades.
e. Existem testes que podem auxiliar nesta tarefa, como por exemplo testes
de invasão ativos (pentest). 

Questão 10 
Incorreto

Escolha uma:
a. O gerenciamento de riscos é um processo que pode ser realizado de

b. Na fase 4 do CVDS (operação ou manutenção), os riscos identi cados são

operações.
2,3
c. A metodologia de gerenciamento de riscos não pode ser integrada ao

CVDS.

d. O gerenciamento de riscos é um processo que deve ser realizado de

e. Na fase 2 do CVDS (desenvolvimento ou aquisição), as atividades de



Iniciado em
domingo, 11 Nov 2018, 00:04
Estado
Finalizada
Concluída em
domingo, 11 Nov 2018, 00:04
Nota
1,00 de um máximo de 10,00(10%)
Questão 1 
Incorreto

a norma:
Escolha uma:
a. ISO 9002
b. ISO 27001
 Tema: Auditoria e padrões ISSO. A Norma ISO 19011:2011 não estabelece
requisitos, mas fornece diretrizes sobre a gestão de um programa de auditoria,
sobre o planejamento e a realização de uma auditoria de sistema de gestão, bem
como sobre a competência e avaliação de um auditor e de uma equipe auditora.
Fonte: Cap 8 pag. 15,16
c. ISO 27002
d. ISO 19011
e. ISO 9001


Questão 2 
Correto

necessária ao proprietário que delega um patrimônio para ser gerido por um
terceiro. Assinale a alternativa que apresenta o conceito de auditoria:
Escolha uma:
a. É o um instrumento de governança com o intuito de veri car se os

interesses do agente (gestor do patrimônio do proprietário) estão sendo
atendidos.
b. É o processo que visa implementar os controles contidos no COBIT, entre

eles con dencialidade, integridade e disponibilidade.
c. É o processo de assegurar se o desenvolvimento, implantação e

manutenção de sistemas atingem os objetivos de negócio, segurança dos
itens de informação e mantem a integridade dos dados.
 Tema: Objetivos da auditoria. A auditoria de sistemas de informação deve
assegurar a validade, con abilidade, e segurança da informação, garantindo
também a integridade dos dados contidos nos sistemas. Fonte: Cap 7, pag. 6
d. É o processo que implementa a teoria da agência.


e. É o processo que veri ca somente informações da área contábil.
A resposta correta é: É o processo de assegurar se o desenvolvimento,

implantação e manutenção de sistemas atingem os objetivos de negócio,
segurança dos itens de informação e mantem a integridade dos dados..
Questão 3 
Incorreto
Uma das principais associações que auxiliam os pro ssionais auditores de

sistemas de informação, responsável pela certi cação CISA (Certi ed
Escolha uma:
a. COBIT
b. ACL
c. INMETRO
 Tema: Associações e certi cações. A certi cação CISA é mantida pela ISACA,
uma associação que auxilia pro ssionais em todo o mundo atuando no
desenvolvimento de metodologias e certi cações. Fonte: Cap 7, pag. 17
d. ISACA
e. ISSO
Questão 4 
Incorreto

Escolha uma:
a. IEEE.
b. ISSO
c. INMETRO
d. INTOSAI
 Tema: Ciclo de Auditoria Operacional – TCU. O TCU propõe no Ciclo de
pag. 8
e. TCU

Questão 5 
Incorreto

Escolha uma:
a. O relatório pode ter um impacto signi cativo nas decisões de gestão

relativas à organização auditada e aos seus destinatários.
b. Os relatórios não são distribuídos a partes externas, como o público em

geral ou agências governamentais que têm autoridade reguladora sobre a
entidade de auditoria, visto que tratam de informações con denciais das
organizações.
c. O conteúdo do relatório deve ser su cientemente abrangente para

permitir que o mesmo seja independente.
d. O relatório é o principal meio de comunicar os resultados de uma

auditoria ao cliente ou entidade auditada.
e. Os relatórios devem ajudar os auditados a compreender as questões de

controle, recomendações e o risco associado de não tomarem medidas
corretivas. 
 Tema: Relatório de auditoria de sistemas de informação. A alternativa é
incorreta pois os relatórios também são distribuídos a partes externas, como o
público em geral ou agências governamentais que têm autoridade reguladora sobre
a entidade de auditoria. Fonte: Cap 9 pag. 9

público em geral ou agências governamentais que têm autoridade reguladora
sobre a entidade de auditoria, visto que tratam de informações con denciais das
organizações..
Questão 6 
Incorreto

categorias:
Escolha uma:
a. Ferramentas de banco de dados, ferramentas ACL e ferramentas de uso

geral.
b. Ferramentas estatísticas, ferramentas generalistas e ferramentas

especializadas.
 Tema: Ferramentas de auditoria de sistemas de informação. Ferramentas
c. Ferramentas generalistas, ferramentas especializadas e ferramentas de

uso geral.
e. Ferramentas especializadas, ferramentas ACL e ferramentas de uso geral. 

Questão 7 
Incorreto

Escolha uma:
a. Descreve o tipo de auditoria e o que está a ser auditado.

 Tema: Relatório de auditoria de sistemas de informação. Além de fornecer
explicação de alto nível a seção de metodologia deve identi car a natureza e a
extensão do trabalho, os critérios, as fontes de critérios, a dependência do trabalho
de outros pro ssionais, o tipo de análise realizada e a base para as conclusões.
Fonte: Cap 9 pag. 19.
d. Fornece uma explicação de alto nível sobre como a auditoria foi realizada
para cada objetivo.
e. Identi ca os itens a serem avaliados pela auditoria.
A resposta correta é: Fornece uma explicação de alto nível sobre como a 
auditoria foi realizada para cada objetivo..
Questão 8 
Incorreto
Escolha uma:
a. Os totais numéricos correspondem aos totais de controle fornecidos pelo

c. O auditor considera o meio no qual receberá os dados e a capacidade do

 Tema: Ferramentas de auditoria de sistemas de informação. Uma das formas
d. Os auditores começam o projeto com uma caneta e papel escrevendo de


ele contém. 

Questão 9 
Incorreto
2.Adquirir os dados
4.Veri car a integridade dos dados
5.Analisar os dados
II - Identi car o objetivo em termos comerciais e técnicos.
IV - Obter acesso físico e lógico identi cando a localização e o formato dos

V - Interrogar e manipular os dados para identi car exceções.
VI - Adicionar dados ao projeto como tabelas, que de nem como a ACL lê os

dados de origem. 
Escolha uma:
a. I – 3, II – 2, III – 6, IV – 1, V – 5, VI – 4
b. I – 4, II – 2, III – 3, IV – 1, V – 5, VI – 6
 A) I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3, O projeto de auditoria desenvolvido com
o software ACL, via de regra, respeita todas as seis etapas descritas. Fonte: capítulo
10
c. I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3
d. I – 1, II – 4, III – 2, IV – 6, V – 5, VI - 3
e. I – 5, II – 1, III –3, IV – 2, V – 4, VI – 6
Questão 10 
Incorreto



ser desenvolvidas.
Podemos dizer que:
Escolha uma:
a. I, II e III são verdadeiras
b. Somente II e III são verdadeiras


Fonte: capítulo 10
c. I, II e III são falsas
d. Somente III é verdadeira
e. II e III são falsas

Iniciado em
domingo, 11 Nov 2018, 00:04
Estado
Finalizada
Concluída em
domingo, 11 Nov 2018, 00:05
Nota
3,00 de um máximo de 10,00(30%)
Questão 1 
Incorreto

de TI descritos no COBIT, e pode ser traduzido como Guia de Auditoria de TI.
Assinale a alternativa que apresenta o órgão responsável por este guia:
Escolha uma:
a. ISACA
b. INMETRO.
 Tema: ISACA,opção (C). A ISACA disponibiliza alguns guias importantes entre
eles o IT Assurance Guide. O título pode ser traduzido como Guia de Avaliação de TI.
Focado na avaliação dos controles internos de TI descritos no COBIT. No título é
usado o termo Assurance, ou avaliação este termo é mais abrangente do que o
termo auditoria, no entanto a auditoria é um tipo de avaliação. Fonte: Cap 8 pag.
13
c. INTOSAI
d. ISSO
e. TCU

Questão 2 
Correto

Escolha uma:
a. A auditoria deve ser baseada na norma NBR ISO/IEC 27001:2013.
b. A auditoria deve ser realizada por pessoas com independência em

c. A auditoria deve ser realizada por pessoas que tenham profundo

julgamento.
d. A auditoria deve ser realizada pelo agente (gestor do patrimônio do

principal).
e. A auditoria deve ser realizada somente por órgãos governamentais,

como o TCU. 

julgamento..
Questão 3 
Correto

Escolha uma:
b. Planejamento, Execução, Conclusão.

 Tema: Abordagens de auditoria de sistemas de informação. Para a execução
do planejamento é primordial estar de nido o enfoque, abrangência e delimitação
dos sistemas a participarem da auditoria de sistemas de informação. A fase de
execução é centrada na coleta, análise e avaliação e documentação da informação
relevante. Finalmente, a fase de conclusão tem como objetivo comunicar os
resultados da auditoria. Fonte: Cap 8 pag. 2,3.
d. Planejamento, Entrevistas, Revisão.
A resposta correta é: Planejamento, Execução, Conclusão.. 
Questão 4 
Incorreto

a rmar que:
Escolha uma:

b. O auditor deve servir aos interesses do contratante e partes envolvidas

de uma maneira objetiva e condizente com a legislação vigente.
 Tema: Auditor – per l e ética. A é incorreta pois para a execução dos trabalhos,

e. Deve efetuar uma avaliação equilibrada de todas as circunstâncias 

de terceiros.

Questão 5 
Incorreto

Escolha uma:
a. Os tipos gerais de condições que devem ser testados incluem, mas não
se limitam a: testes de transações que ocorrem normalmente e testes
usando dados inválidos.
b. Esta técnica envolve o uso de um conjunto de dados especialmente

projetados e preparados com o objetivo de testar as funcionalidades de
entrada de dados no sistema.
 Tema: Técnicas de auditoria de sistemas de informação. A alternativa é
incorreta pois quanto mais combinações de transações puderem ser feitas no
arquivo de carga, maior será a cobertura do teste. Fonte: Cap 9 pag. 2
c. Quanto menos combinações de transações puderem ser feitas no

arquivo de carga, maior será a cobertura do teste.
d. Não é necessário um avançado conhecimento de informática para a


elaboração dos dados, o qual pode ser feito inclusive utilizando-se de
softwares automatizados que tornam a tarefa mais simples.
e. Antes das transações serem executadas, os resultados de teste esperado

são predeterminados, para que os resultados reais possam ser
comparados com os resultados predeterminados.
A resposta correta é: Quanto menos combinações de transações puderem ser

feitas no arquivo de carga, maior será a cobertura do teste..
Questão 6 
Correto

denominada:
Escolha uma:
a. IEEE.
b. ISACA.
 Tema: Relatório de auditoria de sistemas de informação. Acrônimo para
Information System Audit and Control Association (Associação de Auditoria e
Controle de Sistemas de Informação). Uma associação que auxilia pro ssionais em
todo o mundo atuando no desenvolvimento de metodologias e certi cações.
c. ISO.
d. INMETRO.
e. INTOSAI.


Questão 7 
Incorreto


de ne o tom para toda a auditoria e fornece a oportunidade de estabelecer
e cazes.

Escolha uma:
a. I, somente.
b. I e II, somente.
 Tema: Melhores práticas de auditoria de sistemas de informação. As
alternativas II e III são verdadeiras. A alternativa I é falsa pois não existe um único 
padrão de auditoria de sistemas de informação, sendo inclusive uma di culdade
para os pro ssionais desta área. Fonte: Cap 9 pag. 4,5,6
c. I,II,III.
d. III, somente.
e. II e III, somente.
Questão 8 
Incorreto

correta:
Escolha uma:
a. É uma técnica que consiste em incluir a lógica de auditoria nos sistemas

b. Esta técnica também é conhecida como “test data” ou “test deck”.

 Tema: Técnicas de auditoria de sistemas de informação. Nesta técnica,
c. É uma técnica que consiste na análise de um arquivo de log do tipo

sysadmin.

em produção.

e. É uma técnica também conhecida como ITF.
produção..
Questão 9 
Incorreto

Escolha uma:
a. O IDEA permite criar dois tipos de projetos de área de trabalho local:

b. O software usa projetos para organizar os arquivos a serem auditados.

c. Trata-se de uma ferramenta especí ca de auditoria de SI, ou seja,

d. O software IDEA inclui uma ferramenta de desenvolvimento conhecida

IDEA.
e. A ferramenta oferece a capacidade de importar quantidades massivas de

com sistemas legados, arquivos impressos, entre outros. 

Questão 10 
Incorreto

em que são obtidos acesso físico e lógico identi cando a localização e o
Escolha uma:

 Tema: Ferramentas de auditoria de sistemas de informação. Os dados de
origem podem estar em um computador mainframe, um minicomputador ou um
computador pessoal. Podem ter qualquer estrutura de registro, uma variedade de
tipos de dados e podem estar em disco rígido, pendrives ou outros dispositivos de
armazenamento. Fonte: Cap 10 pag. 4
c. Adquirir os dados.
d. Analisar os dados.
e. Veri car a integridade dos dados.


Iniciado em
domingo, 11 Nov 2018, 00:05
Estado
Finalizada
Concluída em
domingo, 11 Nov 2018, 00:10
Nota
6,00 de um máximo de 10,00(60%)
Questão 1 
Correto

Escolha uma:
a. A auditoria deve ser realizada por pessoas com independência em

b. A auditoria deve ser realizada pelo agente (gestor do patrimônio do

principal).
c. A auditoria deve ser realizada somente por órgãos governamentais,

como o TCU.
d. A auditoria deve ser realizada por pessoas que tenham profundo

julgamento.
e. A auditoria deve ser baseada na norma NBR ISO/IEC 27001:2013. 

julgamento..
Questão 2 
Não respondido

Escolha uma:
b. Execução, Conclusão, Revisão.
c. Planejamento, Entrevistas, Revisão.
d. Planejamento, Conclusão, Revisão.
e. Planejamento, Execução, Conclusão.
Questão 3 
Correto

Escolha uma:
a. ISSO
b. INMETRO
c. IEEE.
d. TCU
 Tema: Ciclo de Auditoria Operacional – TCU. O TCU propõe no Ciclo de
pag. 8
e. INTOSAI

Questão 4 
Correto

a rmar que:
Escolha uma:

b. Deve efetuar uma avaliação equilibrada de todas as circunstâncias

de terceiros.

 Tema: Auditor – per l e ética. A é incorreta pois para a execução dos trabalhos,
d. O auditor deve servir aos interesses do contratante e partes envolvidas

de uma maneira objetiva e condizente com a legislação vigente. 
e. Um auditor deve ter a integridade como característica.

Questão 5 
Correto
Escolha uma:
a. Os auditores começam o projeto com uma caneta e papel escrevendo de

b. Os totais numéricos correspondem aos totais de controle fornecidos

pelo proprietário do dado.
 Tema: Ferramentas de auditoria de sistemas de informação. Uma das formas
c. O auditor adquire os dados para o projeto.
d. O auditor considera o meio no qual receberá os dados e a capacidade do


ele contém. 

Questão 6 
Correto

categorias:
Escolha uma:
a. Ferramentas estatísticas, ferramentas generalistas e ferramentas

especializadas.
b. Ferramentas generalistas, ferramentas especializadas e ferramentas de

uso geral.
 Tema: Ferramentas de auditoria de sistemas de informação. Ferramentas
c. Ferramentas estatísticas, ferramentas de uso geral e ferramentas ACL.
d. Ferramentas especializadas, ferramentas ACL e ferramentas de uso

geral.
e. Ferramentas de banco de dados, ferramentas ACL e ferramentas de uso 

geral.

Questão 7 
Correto

correta:
Escolha uma:
a. É uma técnica que consiste na análise de um arquivo de log do tipo

sysadmin.
b. É uma técnica que consiste em incluir a lógica de auditoria nos sistemas

c. É uma técnica também conhecida como ITF.

em produção.
 Tema: Técnicas de auditoria de sistemas de informação. Nesta técnica,

produção..
Questão 8 
Não respondido

denominada:
Escolha uma:
a. ISO.
b. INMETRO.
c. INTOSAI.
d. IEEE.
e. ISACA.
Questão 9 
Incorreto

Escolha uma:
a. O software IDEA inclui uma ferramenta de desenvolvimento conhecida

IDEA.
b. O IDEA permite criar dois tipos de projetos de área de trabalho local:

c. A ferramenta oferece a capacidade de importar quantidades massivas de

com sistemas legados, arquivos impressos, entre outros.
d. Trata-se de uma ferramenta especí ca de auditoria de SI, ou seja,

e. O software usa projetos para organizar os arquivos a serem auditados. 

Questão 10 
Incorreto



ser desenvolvidas.
Podemos dizer que:
Escolha uma:
a. Somente II e III são verdadeiras


Fonte: capítulo 10
b. I, II e III são falsas
c. II e III são falsas
d. I, II e III são verdadeiras

Segurança e Auditoria de Sistemas - Exercício de Fixação 1 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Segurança e Auditoria de Sistemas - Exercício de Fixação 1 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

10/11/2018 Exercício de Fixação 1 (E1)

Atividade anterior Próxima atividade

Assinale a alternativa que corresponde à etapa de uso, dentro do ciclo de

a. A informação é conservada para futura utilização.

b. Quando é gerado valor agregado à informação.

c. A informação é criada, ou obtida através de uma fonte externa.

d. Quando é realizado algum tipo de organização ou formatação da

e. Quando é realizado o expurgo de informações.

A resposta correta é: Quando é gerado valor agregado à informação.. 

O desenvolvimento de uma política de segurança da informação é realizado

a. É a efetiva implantação das políticas, normas e procedimentos através de

b. É a fase de mudança de cultura que inclui comportamentos que

c. É nesta fase que serão formalizados os procedimentos junto à alta

d. Nesta fase serão obtidas informações iniciais sobre os ambientes de

e. Fase que envolve aspectos como a classi cação das informações,

A resposta correta é: Nesta fase serão obtidas informações iniciais sobre os

Quanto aos conceitos complementares de Segurança da Informação,

(__) Ativo de informação: É a própria informação somada a qualquer

(__) Ataque: São os meios utilizados para resolução das vulnerabilidades.

(__) Vulnerabilidade: É o ponto fraco de um ativo.

(__) Ameaça: É a exploração de uma falha por um agente.

(__) Controle: São os meios utilizados para resolução das vulnerabilidades.

A resposta correta é: V,F,V,F,V.

O estudo de impactos faz parte de um plano diretor de segurança, que tem

a. Não-considerável, importante, relevante, crítico e vital.

b. Vital, crítico, importante, relevante e não-considerável.

c. Relevante, não-considerável, importante, vital e crítico. 

d. Não-considerável, relevante, importante, crítico e vital.

e. Importante, crítico, vital, não considerável e relevante.

A resposta correta é: Não-considerável, relevante, importante, crítico e vital..

Sobre Sistema de Gestão de Segurança da Informação (SGSI), é INCORRETO

a. Se a organização tem uma necessidade simples, isto requer uma solução

b. É o resultado da aplicação planejada de objetivos, diretrizes, políticas,

c. A implantação de um SGSI pode contribuir muito para a garantia da

d. Na prática, quando uma instituição implanta a norma ISO 27001 acaba

A resposta correta é: Um SGSI é de fundamental importância para empresas do

Um dos cinco princípios do COBIT é atender as necessidades das partes

a. Pessoas que devem colaborar e trabalhar em conjunto a m de garantir

b. Pessoas ou grupos que possuem investimento ou interesse no negócio.

c. Grupo responsável pela governança e o gerenciamento de informações

d. São os gestores executivos de uma empresa.

e. Pessoas que ajudam a alcançar os objetivos da empresa. 

A resposta correta é: Pessoas ou grupos que possuem investimento ou interesse

As normas da família ISO 27000 herdaram a padronização instituída na

A resposta correta é: BS7799.

Um dos tópicos da norma NBR ISO/IEC 27001:2013 é o tópico de Avaliação

a. Incentiva a melhoria contínua através de constantes ações corretivas.

b. Referências indispensável para a aplicação da norma.

c. Etapas de monitoramento, medição e análise bem como auditoria

d. Glossário completo com termos técnicos fundamentais.

e. Descreve os objetivos gerais e a aplicação da norma.

Sobre a utilização de recursos de TI em uma organização, assinale a

a. A maioria dos incidentes de segurança da informação ocorrem no

b. Cabe à equipe de TI disponibilizar aos colaboradores (funcionários ou

c. Os usuários nais devem ter acesso privilegiado para instalação de

d. É de fundamental importância que a organização possua uma política de 

e. Os colaboradores da instituição devem ter ciência de que o uso dos

A resposta correta é: Os usuários nais devem ter acesso privilegiado para

Quanto ao ITIL, considere as a rmações, analise sua veracidade (V =

É o padrão atual da indústria para implantar o gerenciamento de serviços de

A ITIL organiza os processos para o gerenciamento dos serviços de TI por

A ITIL é descrita em três componentes básicos: núcleo do ITIL, guias