PRINCÍPIOS DA SEGURANÇA E O CICLO DE VIDA DA INFORMAÇÃO

1. O crescimento das redes abertas fez com que surgissem vários problemas de segurança,
que vão desde o roubo de senhas e interrupção de serviços até problemas de personificação,
em que uma pessoa faz-se passar por outra para obter acesso privilegiado. Com isso, surgiu
a necessidade de verificação da identidade tanto dos usuários quanto dos sistemas e
processos. Dentro desse contexto, esse ato de verificação é chamado:

cadastro.
confiabilidade.
configuração.
autenticação.
acessibilidade.
Data Resp.: 19/11/2023 11:33:52

Explicação:

A resposta correta é: Autenticação.

2. Em relação à segurança da informação e aos controles de acesso físico e lógico, considere:

I. Se um usuário não mais faz parte a lista de um grupo de acesso aos recursos de
processamento da informação, é certo que o grupo seja extinto com a criação de um novo,
contendo os usuários remanescentes.

II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo trabalho
devem ser retirados ou adaptados, incluindo chaves e qualquer tipo de identificação que
associe a pessoa ao novo projeto.

III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve
ser controlado e restrito às pessoas autorizadas, preferencialmente por controles de
autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification
number).

Está correto o que se afirma em

I e II, apenas.
III, apenas.
I e III, apenas.
I, II e III.
II e III, apenas.
Data Resp.: 19/11/2023 11:36:13

Explicação:

Do ponto de vista de gerenciamento, não faz sentido excluir todos os usuários (o grupo)
apenas para revogar o acesso de um único usuário que não tenha mais permissão.
3. Na questão que avalia conhecimento de informática, a menos que seja
explicitamente informado o contrário, considere que: todos os programas
mencionados estejam em configuração‐padrão, em português; o mouse
esteja configurado para pessoas destras; expressões como clicar,
clique simples e clique duplo refiram‐se a cliques com o botão
esquerdo do mouse; e teclar corresponda à operação de pressionar uma
tecla e, rapidamente, liberá‐la, acionando‐a apenas uma vez.
Considere também que não haja restrições de proteção, de
funcionamento e de uso em relação aos programas, arquivos, diretórios,
recursos e equipamentos mencionados.

Assinale a alternativa que apresenta procedimento de segurança da

informação que pode ser adotado pelas organizações.

descartar o inventário dos ativos, caso a organização possua

não envolver a direção com a segurança da informação, tendo em vista que ela já possui
diversas outras atribuições
conceder aos funcionários o acesso completo aos sistemas e à rede (intranet) da
organização
realizar, periodicamente, análises de riscos, com o objetivo de contemplar as mudanças
nos requisitos de segurança da informação
direcionar os funcionários apenas para o exercício de suas funções diárias; pois
treinamentos em segurança da informação ou outros eventos relacionados devem ser
evitados
Data Resp.: 19/11/2023 11:36:50

Explicação:

A resposta correta é: realizar, periodicamente, análises de riscos, com o objetivo de

contemplar as mudanças nos requisitos de segurança da informação.

4. Suponha que uma entidade R (remetente) deseja enviar uma mensagem m para outra
entidade D (destinatário) utilizando a internet. Para se comunicarem, R e D utilizam
criptografia de chave pública. R+ e R são as chaves pública e privada de R, respectivamente,
e D+ e D- são as chaves pública e privada de D, respectivamente.

A partir dessa situação, avalie o que se afirma.

I - Se R utilizar D+ para criptografar m, então D poderá utilizar D- para decriptar m.

II - Se R utilizar R+ para criptografar m, então D poderá utilizar D- para decriptar m.

III - Se R utilizar R- para criptografar m, então D poderá utilizar R+ para decriptar m.

IV - Se R utilizar D- para criptografar m, então D poderá utilizar R+ para decriptar m.

Está correto apenas o que se afirma em:

II e IV.
II e III.
 III e IV.
I e IV.
I e III.
Data Resp.: 19/11/2023 11:37:39

Explicação:

A resposta correta é: I e III.

5. A informação é estruturação e organização dos dados. Assim, os dados constituem a matéria

prima da informação. Dentro dos aspectos da segurança da informação que exigem atenção
são: confidencialidade, integridade e disponibilidade. A respeito da:

I - Na confidencialidade, as informações serão acessadas por quem tiver a devida

autorização.

II - Na integridade, a informação que chega ao receptor pode não ser a que foi enviada pelo
emissor

III - Disponibilidade, as informações podem ser acessadas por sistemas autorizados para tal
fim.

Podemos considerar como corretas:

I apenas.
I e III.
I, II, III.
III apenas.
II e III.
Data Resp.: 19/11/2023 11:38:34

Explicação:

A resposta correta é: I e III.

Na integridade, a informação que chega ao receptor é a que foi enviada pelo emissor. Ou
seja, não houve modificação no envio da informação.

1. (FEPESE/2017) Identifique abaixo as afirmativas verdadeiras ( V ) e as falsas ( F ) sobre

Negação de Serviço (DoS e DDoS):

( ) Negação de serviço, ou DoS (Denial of Service) é uma técnica pela qual um atacante
utiliza um computador para tirar de operação um serviço, um computador ou uma rede
conectada à Internet.

( ) Quando utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de

computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou
DDoS (Distributed Denial of Service).

( ) O principal objetivo dos ataques de Negação de Serviço (DoS e DDoS) é invadir e coletar
informações do alvo.

( ) Uma pessoa pode voluntariamente usar ferramentas e fazer com que seu computador seja
 utilizado em ataques. A grande maioria dos computadores, porém, participa dos ataques sem
o conhecimento de seu dono, por estar infectado e fazendo parte de botnets.

Assinale a alternativa que indica a sequência correta, de cima para baixo.

VFFF
FFVF
FVVF
VVFV
VFFV
Data Resp.: 19/11/2023 11:41:34

Explicação:

Podemos assumir que o principal objetivo dos ataques de Negação de Serviço (DoS e DDoS)
é paralisar as operações do alvo.

2. (FCC/2010) Sobre segurança da informação, considere:

I. Ameaça: algo que possa provocar danos à segurança da informação, prejudicar as ações
da empresa e sua sustentação no negócio, mediante a exploração de uma determinada
vulnerabilidade.

II. Vulnerabilidade: é medida pela probabilidade de uma ameaça acontecer e o dano

potencial à empresa.

III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações
corrompidas.

Está correto o que consta APENAS em

I e II
III
I
I e III
II e III
Data Resp.: 19/11/2023 11:42:29

Explicação:

Os itens II e III apresentam os conceitos invertidos, sendo correto afirmar:

Vulnerabilidade: ponto pelo qual alguém pode ser atacado, molestado ou ter suas
informações corrompidas;

Risco: é medido pela probabilidade de uma ameaça acontecer e o dano potencial à empresa.

3. Ativos são recursos econômicos controlados por uma organização que possuem valor e
podem gerar benefícios futuros. Eles são divididos em duas categorias principais: ativos
tangíveis e ativos intangíveis. De maneira geral, qual exemplo pode ser considerado um ativo
lógico tangível?
 Informação.
Imagem da organização.
Colaboradores.
Marca.
Humanos.
Data Resp.: 19/11/2023 11:43:13

Explicação:

Ativos tangíveis lógicos são aqueles que envolvem a informação e sua representação em
algoritmos, por exemplo, uma fórmula química, os detalhes sobre a safra da laranja no
mercado norte-americano, o algoritmo principal de busca do Google, os detalhes técnicos das
baterias dos carros do Elon Musk.

4. (FCC/2012 - Adaptada) Códigos maliciosos (malwares) são programas que objetivam

executar ações danosas e atividades maliciosas em um computador. Neste contexto
encontram-se bots e botnets, sobre os quais é correto afirmar:
Um computador infectado por um bot costuma ser chamado de attack base, pois serve de
base para o atacante estabelecer suas ações maliciosas. Também pode ser chamado de
spam host, pois o bot instalado tem o objetivo de enviar infinitamente spams para a caixa
de e-mail de quem é vítima do ataque.
Bot é um programa que dispõe de mecanismos de comunicação com o invasor e possui
um processo de infecção e propagação igual ao do vírus, ou seja, não é capaz de se
propagar automaticamente.
Algumas das ações maliciosas que costumam ser executadas por intermédio de botnets
são: ataques de negação de serviço, propagação de códigos maliciosos, coleta de
informações de um grande número de computadores, envio de spam e camuflagem da
identidade do atacante.
Botnet é um software malicioso de monitoramento de rede que tem a função de furtar
dados que transitam pela rede e, normalmente, tornar a rede indisponível disparando uma
grande carga de dados direcionados ao servidor da rede.
A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer
exclusivamente via redes do tipo P2P. Ao se comunicar, o invasor pode enviar instruções
para que ações maliciosas sejam executadas, como desferir ataques, furtar dados do
computador infectado e enviar spam.
Data Resp.: 19/11/2023 11:44:53

Explicação:

Botnets, também conhecido como rede zumbi, é um conjunto de equipamentos que sofreu
um ataque, resultando no controle do equipamento pelo hacker. Através de botnets é
possível fazer ataques de negação de serviço, envios de e-mails em massa e vários outros.

5. (UFES/2014) O termo "Engenharia Social" é comumente utilizado para se referir a técnicas

utilizadas por pessoas mal-intencionadas que abusam de relações sociais para conseguir
informações sigilosas ou acesso a sistemas. Dos cenários abaixo, NÃO caracteriza um caso
de Engenharia Social o que está descrito em
Após fornecer seu endereço de e-mail em um site para se cadastrar, você recebe uma
mensagem de e-mail desse site pedindo que você clique em um link para confirmar o seu
cadastro.
Em um ambiente de trabalho, uma pessoa liga, identifica-se como administrador dos
sistemas da empresa e solicita que você siga uma série de passos, incluindo acesso a
sites na internet e instalação de softwares, para melhorar o desempenho da sua máquina.
 Uma pessoa liga para você, identifica-se como sendo de uma empresa prestadora de
serviços (ex.: de telefonia), explica que há um problema no seu cadastro e pede que você
informe vários dados pessoais, como nome completo, endereço, etc.
Você recebe um e-mail alertando sobre um novo vírus muito perigoso e orientando-o a
procurar por determinado arquivo em seu sistema e, caso ele exista, excluí-lo
imediatamente e repassar a mensagem a todos os seus conhecidos.
Você recebe um e-mail indicando que acaba de ser sorteado com um prêmio e instruindo-
o a acessar um determinado site e preencher o cadastro para coletar o seu prêmio.
Data Resp.: 19/11/2023 11:48:12

Explicação:

A Engenharia Social é um método de ataque que utiliza a persuasão para obter dados
sigilosos do usuário, seja por meios eletrônicos ou não. Normalmente, o atacante se passa
por alguém confiável, como uma instituição conhecida, como um banco ou empresa. A opção
correta mencionada refere-se apenas a um procedimento de confirmação, comum quando
você se cadastra em um site e recebe uma mensagem para confirmar a validade do seu
endereço de e-mail.

6. O link de acesso à internet de uma instituição encontra-se muito instável porque

o seu provedor não cumpre o SLA. Do ponto de vista de segurança e análise de
risco, isso deve ser considerado como evidência de:
Ameaça.
BYOD.
Negação de serviço.
Resiliência.
Vulnerabilidade.
Data Resp.: 19/11/2023 11:48:58

Explicação:

A resposta correta é: Vulnerabilidade.

7. Indique a alternativa que pode conter um relacionamento mais apropriado entre

os conceitos de AMEAÇA, IMPACTO, INCIDENTE e VULNERABILIDADE
tratados pela Gestão de Riscos na Tecnologia da Informação.
 Data Resp.: 19/11/2023 11:50:03

Explicação:

A resposta correta é:

8. Considere que uma equipe esteja trabalhando num software web com severas
restrições de segurança. Além dos desenvolvedores e analistas, essa equipe
conta com profissionais especialistas em segurança que têm, entre outras
atribuições, a responsabilidade de realizar a revisão dos códigos a fim de evitar
vulnerabilidades. Se durante a etapa de desenvolvimento um revisor da equipe
de segurança detectar uma vulnerabilidade, é sua responsabilidade:
Separar a vulnerabilidade, tratando o código com erro como mais um
problema que requer correção.
Corrigir a vulnerabilidade, contatando os desenvolvedores que programaram
o trecho de código vulnerável.
Isolar o problema e solicitar que a equipe de desenvolvimento corrija a
vulnerabilidade imediatamente.
Separar a vulnerabilidade e alertar a equipe de segurança para que o
problema seja resolvido.
Corrigir o problema e relatar a vulnerabilidade à equipe de segurança.
Data Resp.: 19/11/2023 11:51:07

Explicação:

A resposta correta é: Separar a vulnerabilidade e alertar a equipe de segurança

para que o problema seja resolvido.

9. Sobre os conceitos de segurança da informação, analise as afirmativas a seguir:

I. Uma ameaça tem o poder de comprometer ativos vulneráveis.

II. Risco é a combinação das consequências de um incidente de segurança com

a sua probabilidade de ocorrência.

III. Vulnerabilidades técnicas são mais críticas do que vulnerabilidades criadas

por comportamento humano.
 Está correto somente o que se afirma em:
I e III
II
I
I e II
III
Data Resp.: 19/11/2023 11:52:12

Explicação:

A resposta correta é: I e II

10. É um tipo de malware feito para extorquir dinheiro de sua vítima. Esse tipo de
ciberataque irá criptografar os arquivos do usuário e exigir um pagamento para
que seja enviada a solução de descriptografia dos dados da vítima. O
scareware é seu tipo mais comum e usa táticas ameaçadoras ou intimidadoras
para induzir as vítimas a pagar.

O texto se refere ao:

DDoS
Spam
Ransomware
Botnet
Spyware
Data Resp.: 19/11/2023 11:52:42

Explicação:

A resposta correta é: Ransomware

1. Assinale a assertiva que NÃO representa um dos benefícios para a adoção da norma ABNT
NBR ISO/IEC 27001:2013 por uma organização:

Fornece segurança a todas as partes interessadas

Oportunidade de identificar e eliminar fraquezas
Mecanismo para minimizar o fracasso do sistema
Isola recursos com outros sistemas de gerenciamento
Participação da gerência na Segurança da Informação
Data Resp.: 19/11/2023 11:54:34

Explicação:

A resposta correta é: Isola recursos com outros sistemas de gerenciamento.

Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013:

6.1.3 Tratamento de riscos de segurança da informação

A organização deve definir a aplicar um processo de tratamento de riscos

de segurança da informação para:

(...)
b) determinar todos os controles que são necessários para implementar as
opções escolhidas do tratamento do risco da segurança da informação.

d) elaborar uma declaração de aplicabilidade, que contenha os controles

necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, sejam eles
implementados ou não, bem como a justificativa para a exclusão dos
controles do Anexo A.
Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na Declaração
de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de controle e controles
constantes na norma.

De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como "Não-conformidade"?

2.

Falta informação nessa

checagem para classificar
Sim
Não
Indica uma simples observação a ser feita
Não se aplica a esta norma
Data Resp.: 19/11/2023 11:55:03

Explicação:

A resposta correta é: Sim.

3. Assinale a assertiva que representa um dos benefícios para a adoção da norma ABNT NBR
ISO/IEC 27001:2013 por uma organização:

Mecanismo para eliminar o sucesso do sistema

Fornece insegurança a todas as partes interessadas
Isola recursos com outros sistemas de gerenciamento
Não participação da gerência na Segurança da Informação
Oportunidade de identificar e eliminar fraquezas
Data Resp.: 19/11/2023 11:55:37

Explicação:

A resposta correta é: Oportunidade de identificar e eliminar fraquezas.

4. Dentre as opções a seguir, qual Norma Técnica apresenta um código de prática para a
 gestão da segurança da informação?

ABNT NBR ISO/IEC 27001:2013

ABNT NBR ISO/IEC 20000-1:2011
ABNT NBR ISO/IEC 27002:2013
ABNT NBR ISO 9001:2008
ABNT NBR ISO 14001:2004
Data Resp.: 19/11/2023 11:56:23

Explicação:

A resposta correta é: ABNT NBR ISO/IEC 27002:2013

5. O item 12.2.1 da norma ABNT NBR ISO/IEC 27002:2013 diz respeito aos controles
contra malware, cujas diretrizes para implementação recomendam a proteção contra códigos
maliciosos baseada em softwares de detecção de malware e reparo, na conscientização da
informação, no controle de acesso adequado e nos planos de continuidade de negócio.

Com base no acima exposto, e no seu conhecimento de segurança da informação e sistemas

de computação, marque a alternativa que possui uma das diretrizes recomendadas:

Estabelecer uma política informal proibindo o uso de softwares autorizados.

Estabelecer uma política formal para proteção contra os riscos associados com a
importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio,
indicando quais medidas preventivas devem ser adotadas.
Conduzir análises informais, esporádicas e descompromissadas dos softwares e dados
dos sistemas que suportam processos críticos de negócio.
Ignorar informalmente a presença de quaisquer arquivos não aprovados ou atualização
não autorizada.
Instalar e atualizar regularmente softwares de detecção e remoção de malware,
independentemente da fabricante, procedência e confiabilidade, para o exame de
computadores e mídias magnéticas.
Data Resp.: 19/11/2023 12:02:31

Explicação:

A resposta correta é: Estabelecer uma política formal para proteção contra os riscos
associados com a importação de arquivos e softwares, seja de redes externas, ou por
qualquer outro meio, indicando quais medidas preventivas devem ser adotadas.

6. "The ISO Survey of Certifications" é uma ferramenta valiosa que fornece insights sobre a
adoção e difusão de padrões ISO em todo o mundo.

Qual das alternativas abaixo melhor descreve o que é o The ISO Survey of
Certifications?

Uma revista anual sobre as atualizações das normas ISO.

Um site onde as organizações podem obter certificações ISO.
Uma organização que define as normas ISO.
Uma pesquisa anual sobre o número de certificados válidos para os padrões do sistema
de gerenciamento ISO em todo o mundo.
 Uma conferência onde são discutidos os padrões ISO.
Data Resp.: 19/11/2023 12:03:18

Explicação:

Trata-se de uma pesquisa anual sobre o número de certificados válidos para os padrões
do sistema de gerenciamento ISO em todo o mundo.

7. A certificação ISO/IEC 27001 oferece múltiplos benefícios para as organizações,

proporcionando uma estrutura robusta e reconhecida para a gestão da segurança da
informação.

Por que uma organização pode optar pela certificação ISO/IEC 27001?

Para demonstrar a conformidade com os requisitos de SGSI e gerenciar riscos.

Para substituir a necessidade de uma equipe de segurança da informação.
Para garantir que nenhum incidente de segurança ocorra.
Para evitar toda e qualquer ameaça cibernética.
Para garantir a satisfação do usuário final em todas as transações.
Data Resp.: 19/11/2023 12:04:12

Explicação:

A certificação ISO/IEC 27001 mostra que a organização segue um padrão reconhecido

globalmente para o SGSI, ajudando a gerenciar riscos de segurança da informação e
demonstrando conformidade a partes interessadas.

8. A Norma ISO/IEC 27001 é uma das normas mais reconhecidas internacionalmente para
a gestão da segurança da informação.

Qual é o principal objetivo da Norma ISO/IEC 27001?

Estabelecer diretrizes para o descarte seguro de dados organizacionais.

Prover requisitos para estabelecer, implementar, manter e melhorar continuamente um
Sistema de Gestão de Segurança da Informação (SGSI).
Fornecer um padrão para comunicações de rede seguras.
Definir padrões para testes de penetração cibernética.
Criar uma estrutura para treinamento em segurança cibernética.
Data Resp.: 19/11/2023 12:04:52

Explicação:

A Norma ISO/IEC 27001 foi desenvolvida para fornecer um modelo para estabelecer,
implementar, operar, monitorar, revisar, manter e melhorar um SGSI.
 9. A tríade CID é uma forma simplificada de representar os múltiplos objetivos da
segurança da informação.

O que a tríade CID, que o SGSI busca preservar, representa?

Computação, Internet, Dados.

Certificação, Inovação, Desenvolvimento.
Confidencialidade, Integridade, Disponibilidade.
Complacência, Integridade, Durabilidade.
Consistência, Implementação, Durabilidade.
Data Resp.: 19/11/2023 12:05:47

Explicação:

A tríade CID é um modelo de segurança da informação que visa preservar a

confidencialidade, integridade e disponibilidade das informações.

1. O processo de proteção de dados é um conjunto de ações que

têm como objetivo garantir a segurança e a privacidade das
informações armazenadas por uma organização ou indivíduo.
Esse processo envolve a implementação de medidas técnicas,
organizacionais e legais que visam prevenir o acesso, o uso, a
alteração, a destruição ou a divulgação não autorizada de
dados sensíveis. Nesse sentido, qual das opções abaixo é uma
razão válida para justificar a importância de se realizar backups
regularmente como medida de segurança da informação?

Realizar backups permite que você se livre de dados antigos e desnecessários, liberando
espaço de armazenamento valioso.
Os backups são úteis apenas para fins de auditoria e conformidade regulatória, e não têm
relação direta com a segurança da informação.
Backup é um desperdício de tempo e recursos, uma vez que as informações raramente
são perdidas ou corrompidas.
Caso as informações sejam perdidas ou corrompidas devido a falhas de hardware,
malware ou erros humanos, um backup recente pode ser restaurado, garantindo a
continuidade das operações.
Os backups são importantes apenas para grandes empresas que precisam proteger
grandes quantidades de dados confidenciais.
Data Resp.: 19/11/2023 12:07:01

Explicação:

Caso as informações sejam perdidas ou corrompidas devido a falhas de hardware, malware

ou erros humanos, um backup recente pode ser restaurado, garantindo a continuidade das
operações. Realizar backups regularmente é uma medida fundamental de segurança da
informação, pois permite que, em caso de perda, corrupção ou inacessibilidade de dados,
uma cópia recente e íntegra possa ser restaurada, minimizando os prejuízos para a
organização. Falhas de hardware, ataques de malware e erros humanos são comuns e
podem resultar na perda de dados importantes. Portanto, é crucial que backups sejam
realizados regularmente e que sejam armazenados em locais seguros e protegidos contra
ameaças físicas e lógicas. Além disso, backups também podem ser úteis em situações de
desastres naturais, como incêndios, inundações e terremotos, que podem destruir
completamente os dados armazenados em um único local.
2. Segurança da informação é um conjunto de práticas e medidas destinadas a proteger a
confidencialidade, integridade e disponibilidade de informações. Qual das opções abaixo é
considerada uma boa prática de segurança?

Nunca baixar programas de fornecedores oficiais.

Sempre utilizar antivírus desatualizados.
Nunca compartilhar senhas.
Sempre abrir links ou fazer download de arquivos enviados por e-mails não confiáveis ou
de remetentes desconhecidos.
Desabilitar o firewall do sistema operacional.
Data Resp.: 19/11/2023 12:07:33

Explicação:

O compartilhamento de senhas é uma prática arriscada e pode comprometer a segurança da

informação, já que uma vez que a senha é compartilhada, a pessoa que a recebe pode ter
acesso a informações confidenciais. Portanto, manter senhas seguras e não compartilhá-las
é uma boa prática para proteger a confidencialidade das informações.

3. (TRE-TO/2006 - Adaptada) Entre as medidas técnicas utilizadas no processo de proteção de

dados, estão o uso de criptografia para garantir a confidencialidade das informações, o
controle de acesso para limitar quem pode acessar os dados e em que condições, e a
realização de backups regulares para garantir a disponibilidade dos dados em caso de falhas
ou desastres. Nesse sentido, assinale a opção correta a respeito de criptografia.

Na criptografia assimétrica, é utilizada uma única chave para cifração e decifração.

Na criptografia assimétrica, são utilizadas duas chaves, uma pública e uma privada, sendo
uma especificamente utilizada para cifrar e a outra, para decifrar.
A criptografia assimétrica provê sigilo, integridade, autenticidade e não-repúdio dos dados
cifrados.
A criptografia simétrica provê sigilo, integridade e autenticidade dos dados cifrados.
Um dos pontos fortes dos sistemas de criptografia simétrica é a facilidade da distribuição
da chave aos seus usuários.
Data Resp.: 19/11/2023 12:08:04

Explicação:

A criptografia simétrica não provê autenticidade. A criptografia assimétrica utiliza duas

chaves, uma pública e uma privada. Como a criptografia simétrica utiliza apenas uma
chave para criptografar/descriptografar, a mensagem será comprometida caso o invasor
consiga capturar tal chave. Para garantir a segurança de divulgação da chave secreta, utiliza-
se a criptografia assimétrica em conjunto. Dessa forma, é notória a dificuldade de
distribuição da chave simétrica.

4. (AMEOSC/2022 - Adaptada) Protege o computador contra outros programas potencialmente

danosos. Ele detecta, impede e atua na remoção de programas maliciosos, como vírus e
worms.

Marque a alternativa CORRETA que corresponde ao contexto acima.

Antivírus.
Firewall.
 Painel de Controle.
Roteador.
Proxy.
Data Resp.: 19/11/2023 12:08:19

Explicação:

O antivírus é um programa de segurança projetado para detectar, impedir e remover

softwares maliciosos, como vírus e worms, que podem prejudicar o computador e seus
arquivos. Ele trabalha constantemente em segundo plano para monitorar atividades suspeitas
e alertar o usuário sobre possíveis ameaças. Por isso, o antivírus é uma medida importante
de proteção contra ameaças virtuais e deve ser mantido sempre atualizado.

5. (CESGRANRIO/2012) O uso de criptografia simétrica no compartilhamento de informações

secretas requer o compartilhamento de chave simétrica. Uma forma segura para um emissor
enviar uma chave simétrica por meios de comunicação inseguros para um receptor é
criptografar essa chave com a chave:

pública do emissor e a chave privada do receptor.

privada do receptor.
pública do receptor.
pública do emissor.
privada do emissor.
Data Resp.: 19/11/2023 12:09:52

Explicação:

Para enviar uma chave simétrica por meios de comunicação inseguros, é necessário
criptografá-la. Nesse caso, a criptografia deve ser realizada utilizando a chave pública do
receptor.

6. O sistema de backup de missão crítica é também chamado de ambiente de:

Disaster Recovery.
Personal Identification Number.
Daily Backup.
Personal Unblocking Key.
Ransomware.
Data Resp.: 19/11/2023 12:10:31

Explicação:

A resposta correta é: Disaster Recovery.

7. Em relação ao backup incremental, selecione a opção correta:

É a cópia dos dados criados e modificados desde o último backup.

Faz cópias de todos dados, inclusive dos logs de transações associados,
 para outro conjunto de mídia, que pode ser fita, disco, um DVD ou CD.
É a cópia de todos os dados que foram modificados desde o último backup
de qualquer tipo.
É exatamente igual ao backup diferencial.
Também é chamado de backup incremental cumulativo.
Data Resp.: 19/11/2023 12:11:36

Explicação:

A resposta correta é: É a cópia de todos os dados que foram modificados desde

o último backup de qualquer tipo.

8. Quanto mais complexa for uma senha, mais difícil será para o invasor quebrá-la
com o uso de programas, exclusivamente. Levando em consideração essa
afirmação, selecione a opção que possui a senha com maior grau de dificuldade
de ser descoberta por um invasor:
aX1!@7s5
SeNhA123
69910814sa
MaRiA96
X1234Y1
Data Resp.: 19/11/2023 12:11:56

Explicação:

A resposta correta é: aX1!@7s5

9. Complete a frase corretamente: "as funções de hash, por exemplo, são

adequadas para garantir a integridade dos dados, porque ..."
Qualquer alteração feita no conteúdo de uma mensagem fará com que o
receptor calcule um valor de hash diferente daquele colocado na transmissão
pelo remetente.
Utilizam algoritmos de criptografia de chave pública.
Usam chave única para criptografar e descriptografar a mensagem.
Geralmente podem ser calculadas muito mais rápido que os valores de
criptografia de chave pública.
Fazem a troca de chaves na chave simétrica.
Data Resp.: 19/11/2023 12:14:52

Explicação:

A resposta correta é: Qualquer alteração feita no conteúdo de uma mensagem

fará com que o receptor calcule um valor de hash diferente daquele colocado na
transmissão pelo remetente.
10. "Todo acesso a cada objeto deve ser verificado quanto à autoridade. Esse
princípio, quando aplicado sistematicamente, é o principal fundamento do
sistema de proteção". Selecione a opção que se refere a esse mecanismo de
proteção:
Mediação completa.
Compartilhamento mínimo.
Separação de privilégios.
Padrões à prova de falhas.
Privilégio mínimo.
Data Resp.: 19/11/2023 12:15:15

Explicação:

A resposta correta é: Mediação completa.

1. A gestão de riscos de segurança da informação é um processo fundamental para

proteger ativos de informação contra ameaças e vulnerabilidades que podem
comprometer a confidencialidade, integridade e disponibilidade dos dados. Ela envolve a
identificação, avaliação, tratamento e monitoramento dos riscos de segurança da
informação em uma organização.

O que são riscos residuais na gestão de riscos de segurança da informação?

Riscos que não foram identificados.

Riscos que foram totalmente eliminados.
Riscos que não podem ser tratados.
Riscos que foram transferidos para terceiros.
Riscos que foram aceitos pela organização.
Data Resp.: 19/11/2023 12:18:00

Explicação:

Riscos residuais são aqueles que foram aceitos pela organização após o tratamento,
pois podem ser considerados pequenos ou de alguma forma inevitáveis.

2. A proteção de informações, também conhecida como segurança da informação, é uma

área crítica na era digital, na qual a informação desempenha um papel fundamental nos
negócios e na sociedade como um todo. A proteção de informações visa impedir a
divulgação não autorizada, a alteração indesejada e a indisponibilidade de dados e
sistemas.

Qual dos seguintes termos se refere à proteção de informações contra acesso não
autorizado?

Confidencialidade.
Integridade.
Disponibilidade.
Ameaça.
 Vulnerabilidade.
Data Resp.: 19/11/2023 12:17:11

Explicação:

A confidencialidade está relacionada à proteção de informações contra acesso não

autorizado. Ela é um dos pilares da segurança da informação.

3. O acesso não autorizado é uma das principais ameaças à segurança da informação e

ocorre quando uma pessoa ou entidade obtém acesso a sistemas, dados, redes ou
informações confidenciais sem a devida permissão ou autorização.

Qual dos seguintes termos se refere à proteção de informações contra acesso não
autorizado?

Ameaça.
Integridade.
Confidencialidade.
Vulnerabilidade.
Disponibilidade.
Data Resp.: 19/11/2023 12:18:31

Explicação:

A confidencialidade está relacionada à proteção de informações contra acesso não

autorizado. Ela é um dos pilares da segurança da informação.

4. Pontos de falha na segurança da informação são áreas ou componentes de um sistema,

rede, processo ou organização que apresentam vulnerabilidades.

Qual é a definição de "vulnerabilidade" na segurança da informação?

Uma medida que pode modificar o risco.

Uma causa potencial de um incidente indesejado.
Uma mudança não desejável nos objetivos de negócios.
Um evento indesejado que compromete a segurança da informação.
Uma fragilidade de um ativo que pode ser explorada por ameaças.
Data Resp.: 19/11/2023 12:18:58

Explicação:

Uma vulnerabilidade é uma fragilidade de um ativo que pode ser explorada por uma ou
mais ameaças, comprometendo a segurança da informação.
5. A gestão de riscos de segurança da informação é uma prática essencial para proteger os
ativos de informação e garantir a continuidade dos negócios em um ambiente cada vez
mais digital e sujeito a ameaças.

Qual dos seguintes elementos é essencial na gestão de riscos de segurança da

informação?

Medidas de controle.
Ativos de informação.
Vulnerabilidades identificadas.
Comunicação do risco.
Aceitação do risco.
Data Resp.: 19/11/2023 12:19:23

Explicação:

As medidas de controle desempenham um papel fundamental na gestão de riscos de

segurança da informação, pois são usadas para reduzir a probabilidade e o impacto de
incidentes de segurança.

6. Um ataque de negação de serviço tenta afetar a disponibilidade de um ativo,

por exemplo, inundando um servidor de aplicação em rede com mais dados do
que é capaz de processar por unidade de tempo.

Se existe uma ferramenta, dentro do domínio do servidor, que reage a um

ataque de negação de serviço, ela é classificada como uma medida de controle:
Recuperadora
Preventiva
Reativa
Limitadora
Detectora
Data Resp.: 19/11/2023 12:20:05

Explicação:

A resposta correta é: Reativa

7. O sistema de monitoramento de nobreak detectou uma variação na tensão

elétrica na entrada dos aparelhos, mas essa variação não foi o suficiente para
causar danos aos equipamentos de computação a eles conectados.

Conforme os termos relacionados à segurança da informação, o que ocorreu

pode ser classificado como:
 Variação
Dano
Tensionamento
Eletricidade
Evento
Data Resp.: 19/11/2023 12:20:32

Explicação:

A resposta correta é: Evento

8. Houve um superaquecimento em um roteador, que parou de funcionar. O plano

de tratamento para esse caso, definido como "risco alto", será colocado em
prática imediatamente, porque esse risco é considerado:
Prioritário
Resolvido
Informalmente identificado
Residual
Não identificado
Data Resp.: 19/11/2023 12:20:55

Explicação:

A resposta correta é: Prioritário

9. Um membro da comissão de segurança precisa saber informações sobre cada

um dos processos da GR. Ele consultará uma dentre as normas da família
ISO/IEC 27000, que definem uma série de normas relacionadas à segurança da
informação. Ele precisa obter a norma:
ISO/IEC 27001
ISO/IEC 27005
ISO/IEC 27002
ISO/IEC 27000
ISO/IEC 31000
Data Resp.: 19/11/2023 12:21:18

Explicação:

A resposta correta é: ISO/IEC 27005

10. Um funcionário de uma empresa concluiu que existe uma probabilidade de 67%
de sobrecarga e problemas no serviço de distribuição de conteúdo de vídeo em
um eventual aumento na demanda do servidor. Dentro da GR, essa conclusão
 pode ser obtida na etapa de:
Aceitação do risco (residual).
Monitoramento e controle de riscos.
Definição do contexto.
Terminação de riscos.
Processo de avaliação de riscos.
Data Resp.: 19/11/2023 12:22:09

Explicação:

A resposta correta é: Processo de avaliação de riscos.

. O Risco é um conceito importante quando se trata do Plano de Continuidade de

Negócios (PCN). A respeito do Risco, selecione a opção correta:
É um conceito abstrato e com baixa chance de se transformar em um
desastre.
Normalmente não podem ser controlados.
Não pode ser analisado em termos probabilísticos, uma vez que sempre está
presente.
Evento súbito e imprevisto que provoca grandes perdas ou danos a uma
organização.
Possível evento que pode causar perdas ou danos, ou dificultar o atingimento
de objetivos.
Data Resp.: 19/11/2023 12:23:05

Explicação:

A resposta correta é: Possível evento que pode causar perdas ou danos, ou

dificultar o atingimento de objetivos.

2. Os testes e simulações são uma parte fundamental do processo de desenvolvimento e

manutenção de um PCN eficaz.

Por que é importante realizar testes e simulações em um PCN?

Para criar confusão.

Para validar a eficácia das estratégias e planos.
Para aumentar o custo do PCN.
Para entreter os funcionários.
Para desperdiçar tempo.
Data Resp.: 19/11/2023 12:23:27

Explicação:

A realização de testes e simulações em um PCN é fundamental para validar a eficácia

das estratégias e planos, garantindo que a organização esteja preparada para lidar com
situações de desastre.
3. Os quatro pilares fundamentais que sustentam o negócio de uma organização são
elementos essenciais que formam a base para a sua existência e operação eficaz. Eles
desempenham um papel fundamental na estruturação de todas as demais áreas da
organização.

Quais são os quatro pilares fundamentais que sustentam o negócio de uma

organização?

Pessoas, Processos, Tecnologia e Recursos.

Economia, Tecnologia, Política e Cultura.
Marketing, Vendas, Pesquisa e Desenvolvimento.
Qualidade, Eficiência, Sustentabilidade e Inovação.
Missão, Visão, Valores e Estratégia.
Data Resp.: 19/11/2023 12:24:33

Explicação:

Os quatro pilares fundamentais que sustentam o negócio de uma organização são

Pessoas, Processos, Tecnologia e Recursos.

4. Ter um Plano de Continuidade de Negócios (PCN) robusto é fundamental para empresas

de todos os tamanhos, pois ajuda a mitigar riscos, proteger ativos críticos, manter a
confiança dos clientes e garantir a sobrevivência do negócio.

Qual é o principal objetivo do Plano de Continuidade de Negócios (PCN)?

Desenvolver planos de vendas.

Garantir a recuperação e a continuidade das operações em caso de desastres.
Identificar estratégias de marketing.
Identificar as vulnerabilidades dos sistemas de TI.
Identificar as causas naturais de desastres.
Data Resp.: 19/11/2023 12:25:15

Explicação:

O principal objetivo do Plano de Continuidade de Negócios (PCN) é preservar o negócio

da organização em caso de desastres ou eventos que possam interromper suas
operações normais.

5. Uma Política de Gestão de Continuidade de Negócios (PGCN) eficaz desempenha um

papel crucial na proteção dos ativos da organização, na minimização de interrupções
operacionais e na garantia de que a organização possa se recuperar rapidamente de
eventos disruptivos.
 Qual é o principal propósito da Política de Gestão de Continuidade de Negócios (PGCN),
de acordo com a NBR15999-1 (2007)?

Atender a regulamentações de segurança cibernética.

Melhorar a eficiência dos processos de negócios da organização.
Fornecer uma base para entender, desenvolver e implementar a continuidade de negócios
na organização.
Implementar práticas de gerenciamento de projetos.
Criar planos de marketing para a organização.
Data Resp.: 19/11/2023 12:25:44

Explicação:

De acordo com a NBR15999-1, o propósito da PGCN é fornecer uma base para

entender, desenvolver e implementar a continuidade de negócios em uma organização,
fortalecendo a confiança nos negócios junto aos clientes e a outras organizações.

6. Dos planos que constituem o PCN (Plano de Continuidade de Negócios),

selecione o que define as funções e responsabilidades das equipes envolvidas
com acionamento das equipes de contingência:
Plano de Recuperação de Desastres (PRD).
Plano de Continuidade Operacional (PCO).
Plano de Contingência (Emergência).
PDCA (Plan-Do-Check-Execute).
Plano de Administração de Crises (PAC).
Data Resp.: 19/11/2023 12:26:58

Explicação:

A resposta correta é: Plano de Administração de Crises (PAC).

7. O PDCA é um instrumento muito importante para desenvolver um plano de

continuidade de negócios (PCN). Selecione a opção que é responsável por
realizar a melhoria contínua do plano de continuidade de negócios:
O PDCA não é adequado para o PCN.
D - Executar.
P - Planejar.
C - Checar.
A - Agir.
Data Resp.: 19/11/2023 12:28:17

Explicação:

A resposta correta é: A - Agir.

8. Um Plano de Recuperação de Desastres (PRD) é o documento que define os
recursos, ações, tarefas e dados requeridos para administrar
__________________ e __________________ que suportam os Processos de
Negócio. Selecione a opção que preenche corretamente as lacunas:
as consequências dos desastres previsíveis; na criação de planos de ação.
o plano de continuidade; tratamento dos eventos previsíveis.
o plano de continuidade; tratamento dos eventos imprevisíveis.
o processo de recuperação; restauração dos componentes.
o plano de operação; avaliar os pontos de controle.
Data Resp.: 19/11/2023 12:29:10

Explicação:

A resposta correta é: o processo de recuperação; restauração dos

componentes.

9. O Gerenciamento da Continuidade dos Serviços de Tecnologia Informação

(GCSTI) é um processo essencial para que o negócio possa voltar a operar com
o suporte dos serviços de TI o mais rápido possível após a ocorrência de um
cenário de desastre. Selecione a opção que apresenta um possível desafio de
desenvolvimento de um GCSTI:
Justificar a importância do desenvolvimento da GCSTI.
Obter referências para adoção das melhores práticas apropriadas em TI.
Obter exemplos no mercado de casos de sucesso do desenvolvimento, da
implantação e da aplicação da GCSTI.
Encontrar apoio profissional no mercado para dar suporte ao
desenvolvimento da GCSTI.
Criar um GCSTI quando não existirem planos de gerenciamento de
continuidade de negócios.
Data Resp.: 19/11/2023 12:33:42

Explicação:

A resposta correta é: Criar um GCSTI quando não existirem planos de

gerenciamento de continuidade de negócios.