GESTO DE SEGURANA DA INFORMAO

Banco de Questes
1) A anlise de vulnerabilidade permite que os profissionais de segurana e TI da empresa possam ter maior
conhecimento do ambiente de TI e seus problemas. Qual das opes abaixo no um exemplo de teste de
vulnerabilidade lgica em maquinas de uma rede alvo?
Aplicativos instalados.
Rudos eltricos na placa wireless.
Os Sistemas operacionais utilizados.
Patches e service packs aplicados.
Verificar as portas do protocolo TCP/IP que se encontram desprotegidas (abertas).
2) A empresa ABC est desenvolvendo uma poltica de segurana da Informao e uma de suas maiores
preocupaes com as informaes crticas e sigilosas da empresa. Como estas informaes impressas em
papel sero descartadas. Qual o tipo de ataque est preocupando a empresa ABC?
Smurf
Dumpster diving ou trashing
SYN Flooding
Phishing Scam
Fraggle
3) A empresa Ypisilon foi invadida atravs do seu sistema de e-commerce. O ataque ocorreu atravs do envio de
informaes inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi
utilizado um ataque de:
Buffer Overflow
Fragmentao de Pacotes IP
Fraggle
SQL Injection
Smurf
4) A informao tambm possui seu conceito de valor e que est associado a um contexto, podendo gerar lucros ou
ser alavancadora de vantagem competitiva e at mesmo possuir pouco ou nenhum valor. Qual das opes
abaixo apresenta os quatro aspectos importantes para a classificao das informaes?
Confiabilidade, integridade, risco e valor.
Confiabilidade, integridade, vulnerabilidade e valor.
Confidencialidade, integridade, disponibilidade e valor.
Confidencialidade, integridade, disponibilidade e vulnerabilidade.
Confidencialidade, vulnerabilidade, disponibilidade e valor.
5) A NBR ISO/IEC 27002 orienta que a organizao assegurar que funcionrios, fornecedores e terceiros entendam
suas responsabilidades e estejam de acordo com os seus papis de forma a reduzir o risco de furto ou roubo,
fraude ou mau uso dos recursos. Neste caso a NBR ISO/IEC 27002 est fazendo referencia a que tipo de ao
de Segurana:
Gerenciamento das Operaes e Comunicaes.
Segurana em Recursos Humanos.
Segurana Fsica e do Ambiente.
Segurana dos Ativos.
Controle de Acesso.
6) A norma NBR ISO/IEC 27002 orienta que a organizao no deve permitir a interrupo das atividades do
negcio e deve proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar a
sua retomada em tempo hbil. Neste caso a NBR ISO/IEC 27002 est fazendo referncia a que tipo de ao de
Segurana?
Controle de Acesso
Segurana Fsica e do Ambiente.
Gesto de Incidentes de Segurana da Informao
Gesto da Continuidade do Negcio
Gerenciamento das Operaes e Comunicaes
7) A organizao deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contnua
pertinncia, adequao, eficcia, oportunidade de melhoria ou necessidade de mudanas. Qual das opes
abaixo No poder ser considerada como um elemento para a realizao desta anlise:
Os resultados das auditorias anteriores e anlises crticas;

8)

9)

10)

11)

12)

13)

14)

A avaliao das aes preventivas e corretivas;

A avaliao dos riscos e incidentes desejados;
Vulnerabilidades ou ameaas no contempladas adequadamente nas anlise/avaliaes de risco anteriores;
A realimentao por parte dos envolvidos no SGSI.
A organizao deve executar aes para melhorar continuamente a eficcia do SGSI. Estas aes ocorrem
atravs: do uso da poltica de segurana, dos objetivos de segurana, resultados de auditorias, da anlise dos
eventos monitorados e atravs de aes:
Preveno e Preventivas.
Corretivas e Preventivas.
Corrigidas e Preventivas.
Corretivas e Corrigidas.
Corretivas e Correo.
A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo
(inseguro), conhecida como:
zona desmilitarizada (DMZ).
tcp/ip.
backbone.
wi-fi.
pki.
A segurana da informao diz respeito proteo de determinados dados, com a inteno de preservar seus
respectivos valores para uma organizao (empresa) ou um indivduo. Um de suas propriedades principais a
disponibilidade, qual das definies abaixo expressa melhor este princpio:
Esta propriedade indica que os dados e informaes no deveriam ser alterados ou destrudos de maneira
no autorizada e aprovada.
Esta propriedade indica que os dados e informaes no deveriam ser acessveis a, ficar disponveis para ou
ser divulgados a usurios, entidades, sistemas ou processos no autorizados e aprovados.
Esta propriedade indica a possibilidade de identificar e autenticar usurios, entidades, sistemas ou
processos.
Esta propriedade indica que o acesso aos servios oferecidos pelo sistema deveria ser sempre possvel para
um usurio, entidade, sistema ou processo autorizado e aprovado.
Esta propriedade indica que quaisquer transaes legtimas, efetuadas por usurios, entidades, sistemas ou
processos autorizados e aprovados, no deveriam ser passveis de cancelamento posterior.
A utilizao de crachs de identificao de colaboradores numa organizao est fundamentalmente associado a
que tipo de proteo?
Recuperao .
Reao.
Preventiva.
Limitao.
Correo.
A utilizao de diferentes tcnicas e softwares,como por exemplo, a utilizao de port scan, scanner de
vulnerabilidade e network mapping pode estar associada a qual dos Passos abaixo realizados por um Atacante?
Explorao das Informaes
Obteno de Acesso.
Manuteno do Acesso
Camuflagem das Evidncias
Levantamento das Informaes
Alm de classificar as ameaas quando a sua intencionalidade, tambm podemos classific-las quanto a sua
origem, neste caso quais das opes abaixo apresenta a classificao quanto a origem para as ameaas?
Secreta e Oculta
Conhecida e Externa
Secreta e Externa
Interna e Externa
Interna e Oculta
Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves
assimtricas, sendo uma delas pblica e a outra privada, emitidas por autoridade certificadora confivel. Uma
mensagem ser enviada de Ana para Bernardo, satisfazendo s seguintes condies:
1 - a mensagem deve ser criptografada de modo que no seja interceptvel no caminho;
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana

15)

16)

17)

18)

19)

20)

21)

3 - deve ser possvel continuar enviando mensagens, entre as 3 pessoas, que atendam s condies anteriores.
A mensagem de Ana para Bernardo deve ser assinada
com a chave privada de Bernardo e criptografada com a chave pblica de Ana.
e criptografada com a chave pblica de Ana.
com a chave pblica de Ana e criptografada com a chave privada de Bernardo.
e criptografada com a chave privada de Bernardo.
com a chave privada de Ana e criptografada com a chave pblica de Bernardo.
Analise a afirmativa: O nvel de segurana pode ser aumentado tanto pela necessidade de confidencialidade
quanto pela de disponibilidade. Esta afirmao :
falsa, pois no existe alterao de nvel de segurana de informao.
verdadeira desde que seja considerada que todas as informaes so publicas.
falsa, pois a informao no deve ser avaliada pela sua disponibilidade.
verdadeira se considerarmos que o nvel no deve ser mudado.
verdadeira, pois a classificao da informao pode ser sempre reavaliada.
Analise a frase abaixo: Capacidade de uma organizao de resistir aos efeitos de um incidente. Assinale qual
das opes representa o conceito correto da frase acima:
Restaurao
Rescaldo
Resilincia
Recuperao
Resistncia
Antnio deseja obter informaes sigilosas de uma importante empresa da rea financeira. Para isso
implementou um programa que que ir coletar informaes pessoais e financeiros da vtima. Para obter sucesso
no ataque, Antnio ir induzir o acesso a pgina fraudulenta atravs do envio de uma mensagem no solicitada.
Neste caso estvamos nos referindo ao ataque do tipo:
Source Routing
SQL Injection
Shrink wrap code
DDos
Phishing Scan
Ao analisarmos a afirmativa: Devemos levar em considerao que diferentes ameaas possuem impactos
diferentes e que dependendo do ativo afetado, podemos ter tambm impactos diferentes para uma mesma
ameaa. Podemos dizer que :
verdadeira.
falsa, pois no depende do ativo afetado.
parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaa.
falsa, pois os impactos so sempre iguais para ameaas diferentes.
falsa, pois no devemos considerar que diferentes ameaas existem.
Aps conseguir realizar o levantamento das informaes da empresa XPTO e acessar o servidor de banco de
dados com as informaes dos clientes da organizao. Pedro, o invasor, tenta esconder seus atos no
autorizados com o objetivo de prolongar sua permanncia de acesso. Entre outras coisas Pedro alterou os
arquivos de Log. Neste caso, Pedro est em que passo da metodologia de um ataque?
Levantamento das Informaes
Obteno de Acesso
Camuflagem das Evidncias
Divulgao do Ataque
Explorao das Informaes
As ameaas so agentes ou condies que causam incidentes que comprometem as informaes e seus ativos
por meio da explorao de vulnerabilidades. As ameaas inconscientes, quase sempre causadas pelo
desconhecimento podero ser classificadas como:
Inconsequentes.
Voluntrias.
Involuntrias.
Ocasionais.
Naturais.
As ameaas so agentes ou condies que causam incidentes que comprometem as informaes e seus ativos
por meio da explorao de vulnerabilidades. Qual das opes abaixo apresenta as possveis classificaes das
ameaas quanto a sua intencionalidade?

22)

23)

24)

25)

26)

27)

Ocasionais, Involuntrias e Obrigatrias.

Naturais, Involuntrias e Voluntarias.
Naturais, Involuntrias e Obrigatrias.
Naturais, Voluntarias e Vulnerveis.
Naturais, Voluntarias e Obrigatrias.
As contas do Gmail de jornalistas estrangeiros de pelo menos duas agncias de notcias que operam em Pequim
foram sequestradas, em (18/1/10) de acordo com uma associao de profissionais de imprensa que atuam na
China. A notcia chega uma semana aps o Google afirmar ter sido alvo de ataques cibernticos destinados a
acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas
pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas
desconhecidas. Qual voc acha que foi a vulnerabilidade para este ataque?
Vulnerabilidade Mdia
Vulnerabilidade de Software
Vulnerabilidade Natural
Vulnerabilidade Comunicao
Vulnerabilidade Fsica
As protees so medidas que visam livrar os ativos de situaes que possam trazer prejuzo e podemos
classific-las de acordo com a sua ao e o momento em que ocorre. Qual das opes abaixo no corresponde
classificao das protees de acordo com a sua ao e o momento na qual ela ocorre:
Ameaa.
Risco.
Impacto.
Vulnerabilidade.
Preventivas.
As vulnerabilidades esto presentes no dia-a-dia das empresas e se apresentam nas mais diversas reas de
uma organizao, a todo instante os negcios, seus processo e ativos fsicos, tecnolgicos e humanos so alvos
de investidas de ameaas de toda ordem. Qual das opes abaixo descreve o melhor conceito de
Vulnerabilidade na tica da Segurana da Informao?
Impacto presente ou associada a ativos que manipulam ou processam informaes.
Fragilidade presente ou associada a ameaas que manipulam ou processam informaes .
Fragilidade presente ou associada a ativos que manipulam ou processam informaes .
Ameaa presente ou associada a ativos que manipulam ou processam informaes.
Fragilidade presente ou associada a ativos que exploram ou processam informaes .
As vulnerabilidades mais exploradas nos dias de hoje, so as do tipo buffer overflow, que muitas vezes pode dar
privilgios de administrador para o invasor, rodar cdigos maliciosos remotamente, burlar particularidades de
cada sistema, ataques de Negao de Servios (DDoS), e acesso irestrito ao sistema. Em relao a
Classificao das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Software:
Radiao eletromagntica pode afetar diversos tipos de mdias magnticas ou erro de fabricao.
Erros de instalao ou de configurao possibilitando acessos indevidos, vazamento de informaes, perda
de dados ou indisponibilidade de recursos quando necessrios.
Instalaes prediais fora dos padres de engenharia ou salas de servidores mal planejadas.
Possibilidade de desastres naturais (incndios, enchentes, terremotos, tempestades, falta de energia).
Falha nos recursos tecnolgicos (desgaste, obsolescncia, mau uso) ou erros durante a instalao.
Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar,
antes foi deixada uma mensagem informando : "Este ms, o governo vivenciar o maior nmero de ataques de
natureza virtual na sua histria feito pelo fail shell". Foi um ataque orquestrado, no s para este site mas para
varias instituies governamentais, acredita-se que foram utilizados mais de 2 bilhes de acesso no caso foi
utilizado um Denial-of service.. O banco de dados IBGE no foi afetado, o portal mais informativo, no
comprometendo aos dados internos e crticos que no devem ser divulgados. Qual voc acha que foi a
vulnerabilidade para este ataque?
Vulnerabilidade Mdias
Vulnerabilidade Software
Vulnerabilidade Fsica
Vulnerabilidade Natural
Vulnerabilidade Comunicao
Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vrtua, em So Paulo. Nesse ataque os
hackers direcionavam os usurios que acessavam o site do banco Bradesco para uma pgina falsa e roubavam
os dados e as senhas destes usurios. O site teve um problema nos servidores de DNS, que traduziram o

28)

29)

30)

31)

32)

33)

endereo do Bradesco como sendo de outro servidor, no qual havia uma pgina falsa e eles puderam roubar os
dados e as senhas. Qual voc acha que seria a vulnerabilidade neste ataque?
Vulnerabilidade Mdia
Vulnerabilidade Fsica
Vulnerabilidade Natural
Vulnerabilidade de Comunicao
Vulnerabilidade de Software
Baseado no conceito de que as protees so medidas que visam livrar os ativos de situaes que possam
trazer prejuzo e que podemos classific-las de acordo com a sua ao e o momento em que ocorre. Qual das
opes abaixo no corresponde classificao das protees de acordo com a sua ao e o momento na qual
ela ocorre:
Preventivas.
Destrutivas.
Deteco.
Correo.
Desencorajamento.
Certificaes de organizaes que implementaram a NBR ISO/IEC 27001 um meio de garantir que a
organizao certificada:
implementou um sistema para gerncia da segurana da informao de acordo com os padres nacionais
das empresas de TI.
implementou um sistema para gerncia da segurana da informao de acordo com os desejos de
segurana dos funcionrios e padres comerciais.
implementou um sistema para gerncia da segurana da informao de acordo com os padres e melhores
prticas de segurana reconhecidas no mercado.
implementou um sistema para gerncia da segurana da informao de acordo fundamentado nos desejos
de segurana dos Gerentes de TI.
implementou um sistema para gerncia da segurana da informao de acordo com os padres de
segurana de empresas de maior porte reconhecidas no mercado.
Com o crescimento da internet, das tecnologias e aplicaes a ela relacionadas e principalmente na forma como
a tecnologia da informao tem apoiado as operaes das empresas, qual das opes abaixo no verdadeira
quando tratamos do conceito de Informao ?
necessrio disponibiliz-la para quem tem a real necessidade de conhec-la.
fundamental proteger o conhecimento gerado.
Deve ser disponibilizada sempre que solicitada.
A informao vital para o processo de tomada de deciso de qualquer corporao.
Pode conter aspectos estratgicos para a Organizao que o gerou.
Com relao afirmao So as vulnerabilidades que permitem que as ameaas se concretizem podemos
dizer que:
A afirmativa falsa.
A afirmativa verdadeira somente para vulnerabilidades lgicas.
A afirmativa verdadeira somente para ameaas identificadas.
A afirmativa verdadeira somente para vulnerabilidades fsicas.
A afirmativa verdadeira.
Com relao NBR 27005, assinale a opo correta, no que se refere gesto de riscos de segurana da
informao.
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
Os riscos so reduzidos ou mitigados sem que ocorra a seleo de controles.
A definio do contexto da gesto de riscos deve preceder a identificao dos ativos de valor.
Os riscos residuais so conhecidos antes da comunicao do risco.
Qualquer atividade de comunicao do risco de segurana da informao deve ocorrer apenas aps a
aceitao do plano de tratamento do risco pelos gestores da organizao.
Como no existe uma nica causa para o surgimento das vulnerabilidades, diferentes tipos de vulnerabilidade
podem estar presente em diversos ambientes computacionais. Qual das opes abaixo "NO" representa um
exemplo de tipo de vulnerabilidade?
Administrativa
Comunicao
Humana
Fsica

 Natural
34) Como qualquer bem ou recurso organizacional, a informao tambm possui seu conceito de valor. Neste
contexto qual das opes abaixo indica o tipo de valor da informao que pode ser atribudo ao seguinte
conceito: o quanto o usurio est disposto a pagar, conforme as leis de mercado (oferta e demanda).
Valor de restrio.
Valor de troca.
Valor de utilidade.
Valor de propriedade.
Valor de uso.
35) Como qualquer bem ou recurso organizacional, a informao tambm possui seu conceito de valor. Qual das
opes abaixo no representa um dos possveis conceitos fundamentais do valor atribudo s informaes para
as organizaes quando tratamos de Segurana da Informao?
Valor de propriedade.
Valor de restrio.
Valor de uso.
Valor de troca.
Valor de oramento.
36) Como qualquer bem ou recurso organizacional, a informao tambm possui seu conceito de valor est
associado a um contexto. A informao ter valor econmico para uma organizao se ela gerar lucros ou se for
alavancadora de vantagem competitiva, caso contrrio poder ter pouco ou nenhum valor. Segundo os conceitos
da Segurana da Informao, onde devemos proteger as informaes?
Nas Ameaas.
Nas Vulnerabilidades.
Nos Ativos.
Nas Vulnerabilidades e Ameaas.
Nos Riscos.
37) Considere que uma organizao deseje verificar a existncia de falhas de segurana em seu ambiente de TI,
atravs de um levantamento detalhado deste ambiente para que possa implementar controles eficientes sobre
seus ativos. Para isso, selecione qual das opes abaixo aponta a melhor ferramenta que esta organizao
dever utiliza para esta verificao:
Anlise de Informao.
Anlise de Vulnerabilidade.
Anlise de Usurios.
Anlise de Confiabilidade.
Anlise de Impacto.
38) Considere um sistema no qual existe um conjunto de informaes disponvel para um determinado grupo de
usurios denominados auditores. Aps vrias consultas com respostas corretas e imediatas, em um
determinado momento, um usurio pertencente ao grupo auditores acessa o sistema em busca de uma
informao j acessada anteriormente e no consegue mais acess-la. Neste caso houve uma falha na
segurana da informao para este sistema na propriedade relacionada :
Privacidade;
Integridade;
Confidencialidade;
Disponibilidade;
No-repdio;
39) Considere um sistema no qual existe um conjunto de informaes disponvel para um determinado grupo de
usurios denominados auditores. Um usurio de um outro grupo, o grupo estudante, tenta acessar o
sistema em busca de uma informao que somente o grupo auditores tem acesso e consegue. Neste caso
houve uma falha na segurana da informao para este sistema na propriedade relacionada :
No-Repdio;
Confidencialidade;
Auditoria;
Disponibilidade;
Integridade;
40) De acordo com a afirmao O nvel de segurana requerido para obter cada um dos trs princpios da CID
difere de empresa para empresa, pois cada empresa possui uma combinao nica de requisitos de negcio e
de segurana, podemos dizer que:
A afirmao falsa.

41)

42)

43)

44)

45)

46)

47)

A afirmao ser somente verdadeira se as empresas forem de um mesmo mercado.

A afirmao somente falsa para as empresas privadas.
A afirmao somente verdadeira para as empresas privadas.
A afirmao verdadeira.
Em uma organizao existem diversos tipos de ativos que podem ser organizados e classificados atravs de
diversas propriedades e que permitem a organizao destes ativos em grupos com caractersticas semelhantes
no que diz respeito s necessidades, estratgias e ferramentas de proteo. Qual das opes abaixo define a
classificao dos tipos de ativos?
Contbil e No Contbil.
Material e Tangvel.
Tangvel e Intangvel.
Intangvel e Qualitativo.
Tangvel e Fsico.
Em uma organizao existem diversos tipos de ativos que podem ser organizados e classificados atravs de
diversas propriedades. Qual das opes abaixo descreve o conceito de Ativos para a Segurana da
Informao:
Tudo aquilo que tem valor para a organizao.
Tudo aquilo que no manipula dados.
Tudo aquilo que a empresa usa como inventario contbil.
Tudo aquilo que no possui valor especfico.
Tudo aquilo que utilizado no Balano Patrimonial.
Entre os diversos mecanismos de segurana o firewall muito utilizado pelas organizaes. Podem ser
classificados em diferentes tipos. Qual das opes abaixo apresenta o tipo de Firewall que permite executar a
conexo ou no a um servio em uma rede modo indireto ?
Filtro com Pacotes
Firewall de Borda
Firewall Indireto
Firewall com Estado
Firewall Proxy
Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opes
abaixo No representa um destes tipos de ataques?
Ataque Aplicao
Ataque aos Sistemas Operacionais
Ataques Genricos
Ataque de Configurao mal feita
Ataque para Obteno de Informaes
Joo configurou nas mquinas servidoras da empresa que trabalha o servio de Log de forma a registrar as
operaes realizadas pelos usurios se servios do sistema. Neste caso, Joo est implementando uma
propriedade de segurana relacionada (o):
Integridade;
Auditoria;
No-Repdio;
Confidencialidade;
Disponibilidade;
Joo analista de segurana da empresa Ypisol e percebeu que algum est tentando obter acesso rede
atravs do envio de um grande nmero de requisies de conexo (pacotes SYN) para o servidor WEB da
empresa. Qual o tipo de ataque que o invasor est tentando utilizar?
Fragmentao de pacotes IP
Port Scanning
SYN Flooding
Fraggle
Ip Spoofing
Joo e Pedro so administradores de sistemas de uma importante empresa e esto instalando uma nova verso
do sistema operacional Windows para mquinas servidoras. Durante a instalao Pedro percebeu que existem
uma srie de exemplos de cdigos j prontos para serem executados, facilitando assim o trabalho de
administrao do sistema. Qual o tipo de ataque que pode acontecer nesta situao?
Phishing Scan
Dumpster Diving ou Trashing

48)

49)

50)

51)

52)

53)

54)

Fraggle
Smurf
Shrink Wrap Code
Na gesto de risco, o registro da debilidade no sistema atual de proteo em relao a todas as ameaas em
potencial, realizado durante a atividade:
anlise de perdas.
anlise de custo-benefcio.
anlise de proteo.
avaliao dos ativos.
vulnerabilidade dos ativos.
Na implantao da Gesto de Continuidade de Negcios. importante que a GCN esteja no nvel mais alto da
organizao para garantir que:
As metas e objetivos dos usurios sejam comprometidos por interrupes inesperadas
As metas e objetivos definidos no sejam comprometidos por interrupes inesperadas
As metas e objetivos da alta Direo sejam comprometidos por interrupes inesperadas
As metas e objetivos dos clientes sejam comprometidos por interrupes inesperadas
As metas e objetivos definidos sejam comprometidos por interrupes inesperadas
Na vulnerabilidade dos sistemas, o cavalo de troia e os applets mal intencionados so exemplos de mtodos de
ataque do tipo:
adulterao de dados.
falhas humanas.
fraude de programao.
falhas do sistema computacional.
ameaas no intencionais.
No se pode dizer que h segurana da informao, a menos que ela seja controlada e gerenciada. A segurana
da informao um processo que visa minimizar os riscos a nveis aceitveis. Um Sistema de Gerenciamento de
Segurana da Informao (SGSI), uma srie de aes tomadas com o objetivo de gerenciar a segurana da
informao, incluindo pessoas, infraestrutura e negcios, reduzindo os riscos a um nvel aceitvel, enquanto
mantm em perspectiva os objetivos do negcio e as expectativas do cliente. Para estabelecer o SGSISISTEMA DE GESTO DE SEGURANA DA INFORMAO - a organizao deve inicialmente definir:
Identificar e avaliar as opes para o tratamento das vulnerabilidades.
A abordagem de anlise/avaliao das vulnerabilidades da organizao.
A politica de gesto de continuidade de negcio.
Identificar, Analisar e avaliar os riscos.
A poltica do BIA.
Nas estratgias contingncia implementadas pelas empresas, qual das opes abaixo NO considerada uma
estratgias de contingncia?
Realocao de Operao
Hot Site
Cold Site
Warm Site
Small Site
No ano passado um grupo de Annimos coordenou uma ao em escala indita, com a justificativa de defender
a liberdade de expresso. Seus integrantes lanaram ataques de negao de servio contra Amazon, PayPal,
Visa, Mastercard e o banco suo PostFinance. As companhias sofreram represlia por terem negado
hospedagem, bloqueado recursos financeiros ou vetado doaes para o WikiLeaks, o servio responsvel pelo
vazamento de mais de 250 000 documentos diplomticos americanos, Qual voc acha que seria a
vulnerabilidade neste ataque?
Vulnerabilidade Fsica
Vulnerabilidade Mdia
Vulnerabilidade de Comunicao
Vulnerabilidade de Software
Vulnerabilidade Natural
No contexto da Segurana da Informao, a medida que indica a probabilidade de uma determinada ameaa se
concretizar, combinada com os impactos que ela trar est relacionada com qual conceito de?
Impacto.
Risco.
Ameaa.

55)

56)

57)

58)

59)

60)

61)

Vulnerabilidade.
Valor.
O advento da internet e a globalizao transformaram completamente o mundo que vivemos e
consequentemente esto revolucionando o modo de operao das empresas. A demanda gradual por
armazenamento de conhecimento tem levado necessidade de administrao desses dados de forma confivel.
Por que as organizaes devem proteger as suas informaes?
Somente pelo seu valor financeiro.
Pelos seus valores internos e qualitativos.
Pelos seus valores estratgicos e qualitativos.
Somente pelos seus valores qualitativos e financeiros.
Pelos seus valores estratgicos e financeiros.
O crescimento explosivo da internet e das tecnologias e aplicaes a ela relacionadas revolucionou o modo de
operao das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informao apia
as operaes das empresas e as atividades de trabalho dos usurios finais. Qual das opes abaixo no pode
ser considerada como razo fundamental para as aplicaes de tecnologia da informao nas empresas?
Apoio aos Processos
Apoio ao uso da Internet e do ambiente wireless
Apoio s Operaes
Apoio tomada de deciso empresarial
Apoio s Estratgias para vantagem competitiva
O Evento que tem potencial em si prprio para comprometer os objetivos da organizao, seja trazendo danos
diretos aos ativos ou prejuzos decorrentes de situaes inesperadas est relacionado com qual conceito?
Risco.
Vulnerabilidade.
Ameaa.
Valor.
Impacto.
O Exploit um termo muito utilizado em segurana da informao. Qual das opes abaixo descreve o que
conceito de um Exploit?
Um programa de computador, uma poro de dados ou uma sequncia de comandos que se aproveita das
vulnerabilidades de um sistema computacional.
Um programa de computador, uma poro de dados ou uma sequncia de comandos para reduzir as
ameaas de um sistema computacional.
Um programa de computador, uma poro de dados ou uma sequncia de comandos que implementa
vulnerabilidades em um sistema computacional.
Um programa de computador, uma poro de dados ou uma sequncia de comandos que deve ser
amplamente utilizado em um sistema computacional.
Um programa de computador, uma poro de dados ou uma sequncia de comandos que se aproveita das
ameaas de um sistema computacional.
O papel estratgico dos sistemas de informao nas empresas cresce a cada dia. Qual das opes abaixo no
pode ser considerada como sendo um dos "Propsitos da Informao" dentro das empresas e organizaes?
Habilitar a empresa a alcanar seus objetivos pelo uso eficiente dos equipamentos;
Habilitar a empresa a alcanar seus objetivos pelo uso eficiente dos recursos financeiros;
Habilitar a empresa a alcanar seus objetivos pelo uso eficiente da sua tecnologia;
Habilitar a empresa a alcanar seus objetivos de ineficcia nos processos;
Habilitar a empresa a alcanar seus objetivos pelo uso eficiente dos recursos materiais;
O que ocorre quando uma ameaa explora uma ou mais vulnerabilidades de um ativo segundo os conceitos da
Segurana da Informao?
Uma falha na ameaa do ativo.
Um acidente de Segurana da Informao.
Uma tentativa de Segurana.
Um Incidente de Segurana.
Um tratamento de vulnerabilidades.
O tamanho do prejuzo, medido atravs de propriedades mensurveis ou abstratas, que a concretizao de uma
determinada ameaa causar est relacionado com qual conceito de?
Valor.
Risco.
Impacto.

62)

63)

64)

65)

66)

67)

Vulnerabilidade.
Ameaa
O valor da informao para as empresas considerado, na atualidade, como algo imensurvel. Nos ltimos
anos, a demanda gradual por armazenamento de conhecimento tem levado necessidade de administrao
desses dados de forma confivel. Neste contexto qual das opes abaixo poder definir melhor o conceito de
Dado?
Elemento identificado em sua forma bruta e que por si s conduz a varias compreenses de fatos ou
situaes.
Elemento identificado em sua forma trabalhada e que por si s conduz a vrias compreenses de fatos e
situaes.
Elemento no identificado e que por si s no conduz a uma compreenso de determinado fato ou situao.
Elemento identificado em sua forma trabalhada que por si s no conduz a uma compreenso de
determinado fato ou situao.
Elemento identificado em sua forma bruta e que porsi s no conduz a uma compreenso de determinado
fato ou situao.
Ocorreu um incidente na sua organizao e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual
das opes abaixo no est em conformidade com as orientaes da norma citada?
Confirmar a natureza e extenso do incidente
Comunicar-se com as partes interessadas
Controlar o incidente
Afastar o incidente do cliente
Tomar controle da situao
Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido correto
afirmar que?
A criptograa simtrica ou de chave pblica, quando o emissor e receptor no utilizam chaves diferentes
A criptograa simtrica ou de chave nica aquela quando o emissor e receptor utilizam a mesma chave
A criptograa simtrica ou de chave nica aquela quando o emissor e receptor no utilizam a mesma chave
A criptograa assimtrica ou de chave pblica, quando o emissor e receptor s utilizam as mesmas chaves
A criptograa assimtrica ou de chave pblica, quando o emissor e receptor no utilizam chaves diferentes
Os ataques a computadores so aes praticadas por softwares projetados com intenes danosas. As
consequncias so bastante variadas, algumas tm como instruo infectar ou invadir computadores alheios
para, em seguida, danificar seus componentes de hardware ou software, atravs da excluso de arquivos,
alterando o funcionamento da mquina ou at mesmo deixando o computador vulnervel a outros tipos de
ataques. Em relao a classificao das ameaas podemos definir como ameaas involuntrias:
Danos quase sempre internos - so uma das maiores ameaas ao ambiente, podem ser ocasionados por
falha no treinamento, acidentes, erros ou omisses.
Erros propositais de instalao ou de configurao possibilitando acessos indevidos.
Ameaas decorrentes de fenmenos da natureza, como incndios naturais, enchentes, terremotos e etc.
Acessos no autorizados ou perda de comunicao ou a ausncia de sistemas de criptografia nas
comunicaes.
Ameaas propositais causadas por agentes humanos como crackers, invasores, espies, ladres e etc.
Para auxiliar no processo de classificao das informaes das organizaes, podemos utilizar que ferramenta?
Uma Analise Qualitativa dos nveis Alto, Mdio e Baixo das Informaes.
Uma Matriz que utilize nveis Alto, Mdio e Baixo versus a Confidencialidade, a Integridade e a
Disponibilidade das Informaes.
Uma Matriz que utilize nveis Alto, Mdio e Baixo versus a Confidencialidade, a Integridade e a Probabilidade
das Informaes.
Uma Analise Quantitativa dos nveis Alto, Mdio e Baixo das Informaes.
Uma Matriz que utilize nveis Alto, Mdio e Baixo versus a Confiabilidade, a Integridade e a Disponibilidade
das Informaes.
Para que um ataque ocorra normalmente o atacante dever seguir alguns passos at o seu objetivo, qual das
opes abaixo No representa um destes passos?
Explorao das Informaes
Levantamento das Informaes
Camuflagem das Evidncias
Divulgao do Ataque
Obteno de Acesso

68) Programa que parece til mas possui cdigo destrutivo embutido, e alm de executar funes para as quais foi
projetado, tambm executa outras funes normalmente maliciosas e sem o conhecimento do usurio poder ser
melhor descrito como sendo um:
cavalo de tria (trojan horse)
exploit
active-x
worm
vrus
69) Qual a ao no contexto da gesto da continuidade de negcio e baseado na norma NBR ISO/IEC 15999, que as
organizaes devem implementar para a identificao das atividades crticas e que sero utilizadas para o
perfeito dimensionamento das demais fases de elaborao do plano de continuidade?
Anlise de impacto dos negcios (BIA)
Anlise de risco
Classificao da informao
Auditoria interna
Anlise de vulnerabilidade
70) Qual das ameaas abaixo no uma funo diretiva primria realizada por um Spyware?
Monitoramento de URLs acessadas enquanto o usurio navega na Internet
Captura de senhas bancrias e nmeros de cartes de crdito;
Alterao ou destruio de arquivos;
Captura de outras senhas usadas em sites de comrcio eletrnico;
Alterao da pgina inicial apresentada no browser do usurio;
71) Qual das opes abaixo apresenta a Norma que orienta as organizaes na estruturao e implementao da
continuidade de negcio?
NBR ISO/IEC 16199:1
NBR ISO/IEC 16999:1
NBR ISO/IEC 15999:1
NBR ISO/IEC 15991:1
NBR ISO/IEC 15199:1
72) Qual das opes abaixo apresenta a Norma referente a gesto de Risco dentro da Famlia ISO/IEC 27000?
ISO/IEC 27001
ISO/IEC 27003
ISO/IEC 27005
ISO/IEC 27002
ISO/IEC 27004
73) Qual das opes abaixo apresenta o documento integrante da Poltica de Segurana da Informao onde so
detalhadas no plano operacional, as configuraes de um determinado produto ou funcionalidade que devem ser
feitas para implementar os controles e tecnologias estabelecidas pela norma.
Diretrizes.
Normas.
Manuais.
Procedimentos.
Relatrio Estratgico.
74) Qual das opes abaixo apresenta o documento integrante da Poltica de Segurana da Informao onde so
especificados no plano ttico, as escolhas tecnolgicas e os controles que devero ser implementados para
alcanar a estratgia definida nas diretrizes?
Diretrizes.
Manuais.
Procedimentos.
Normas.
Relatrio Estratgico.
75) Qual das opes abaixo completa a sentena: Quanto maior a probabilidade de uma determinada ameaa
ocorrer e o impacto que ela trar, maior ser _________.
A Vulnerabilidade do Ativo.
A Vulnerabilidade do Risco.
O valor do Impacto.
O risco associado a este incidente.
O risco associado a ameaa.

76) Qual das opes abaixo consiste em enviar para um programa que espera por uma entrada de dados qualquer
informaes inconsistentes ou que no esto de acordo com o padro de entrada de dados?
SQL Injection
Buffer Overflow
Fragmentao de Pacotes IP
Smurf
Fraggle
77) Qual das opes abaixo descreve melhor conceito de Ameaa quando relacionado com a Segurana da
Informao:
Tudo aquilo que tem percepo de causar algum tipo de dano aos ativos
Tudo aquilo que tem origem para causar algum tipo de erro nos ativos
Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes.
Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos
Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos
78) Qual das opes abaixo descreve melhor conceito de Risco quando relacionado com a Segurana da
Informao:
Probabilidade de uma ameaa explorar um incidente.
Probabilidade de um ativo explorar uma ameaa.
Probabilidade de uma ameaa explorar uma vulnerabilidade
Probabilidade de um ativo explorar uma vulnerabilidade.
Probabilidade de um incidente ocorrer mais vezes.
79) Qual das opes abaixo descreve um tipo de ataque onde possvel obter informaes sobre um endereo
especfico, sobre o sistema operacional, a arquitetura do sistema e os servios que esto sendo executados em
cada computador?
Ataque de Configurao mal feita.
Ataque para Obteno de Informaes.
Ataque Aplicao.
Ataque aos Sistemas Operacionais.
Ataques de cdigos pr-fabricados.
80) Qual das opes abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir mquinas
servidoras da WEB de forma a tornar as pginas hospedadas nestes servidores indisponveis pela sobrecarga ao
invs da invaso?
DDos
Phishing Scan
Source Routing
Shrink wrap code
SQL Injection
81) Qual das opes abaixo no apresenta uma das quatro categorias conhecidas de Ataques?
Aceitao de Servio
Disfarce
Modificao de mensagem
Negao de Servio
Repetio
82) Qual das opes abaixo no considerada como sendo um dos fatores fundamentais e que possam impactar no
estudo e implementao de um processo de gesto de segurana em uma organizao?
Insegurana.
Impacto.
Vulnerabilidade.
Ameaa.
Risco.
83) Qual das opes abaixo NO correta quando tratamos do conceito de Permetro de segurana e seus
componentes?
Redes No Confiveis - No possuem polticas de segurana.
Redes Confiveis - Localizadas no permetro de segurana da rede, portanto necessitam de proteo
Redes No Confiveis - No possvel informar se necessitam de proteo.
Redes No Confiveis - No possuem controle da administrao.
Redes Desconhecidas - No possvel informar, de modo explcito, se a rede confivel ou no confivel.
84) Qual das opes abaixo no representa uma das etapas da Gesto de Risco:

85)

86)

87)

88)

89)

90)

91)

92)

Identificar e avaliar os riscos.

Selecionar, implementar e operar controles para tratar os riscos.
Manter e melhorar os controles
Verificar e analisar criticamente os riscos.
Manter e melhorar os riscos identificados nos ativos
Qual das opes abaixo representa o tipo de Mtodo utilizado para a anlise e avaliao dos riscos onde so
utilizados termos com menes mais subjetivas, tais como alto, mdio e baixo:
Mtodo Exploratrio
Mtodo Subjetivo.
Mtodo Classificatrio.
Mtodo Quantitativo
Mtodo Qualitativo
Qual das opes abaixo representa o tipo de Mtodo utilizado para a anlise e avaliao dos riscos onde so
utilizados termos numricos para os componentes associados ao risco.
Mtodo Classificatrio.
Mtodo Exploratrio.
Mtodo Qualitativo.
Mtodo Numrico.
Mtodo Quantitativo.
Qual dos exemplos abaixo no pode ser considerado como sendo claramente um cdigo malicioso ou Malware?
worm
trojan horse
active-x
keyloggers
rootkit
Qual o dispositivo que tem por objetivo aplicar uma poltica de segurana a um determinado ponto de controle da
rede de computadores de uma empresa sendo sua funo a de regular o trfego de dados entre essa rede e a
internet e impedir a transmisso e/ou recepo de acessos nocivos ou no autorizados.
Spyware.
Antivrus.
Adware.
Mailing.
Firewall.
Qual opo abaixo representa a descrio do Passo Levantamento das Informaes dentre aqueles que so
realizados para um ataque de segurana?
O atacante tenta manter seu prprio domnio sobre o sistema
O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema.
O atacante procura coletar o maior nmero possvel de informaes sobre o "alvo em avaliao".
O atacante explora a rede baseado nas informaes obtidas na fase de reconhecimento
O atacante de tentar camuflar seus atos no autorizados com o objetivo de prolongar sua permanncia.
Qual tipo de ataque envolve alguma modificao do fluxo de dados ou a criao de um fluxo falso?
Fraco
Ativo
Passivo
Forte
Secreto
Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmisses?
Passivo
Ativo
Fraco
Secreto
Forte
Quando uma informao classificada como aquela que interna, restrita a um grupo seleto dentro da
organizao. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro, sendo
vital para a companhia podemos ento afirmar que ela possui qual nvel de segurana?
Secreta.
Interna.
Pblica.

93)

94)

95)

96)

97)

98)

Proibida.
Confidencial.
Recente pesquisa realizada pela ESET no Pas identificou que 73% das corporaes consultadas foram vtimas
de algum incidente relacionado segurana da informao nos ltimos meses, o que sugere falhas nas polticas
e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexo urgente
dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de
definir a fase de "Levantamento das informaes" nesta receita:
Esta fase consiste na penetrao do sistema propriamente dita. Nesta fase so exploradas as
vulnerabilidades encontradas no sistema.
Nesta fase o atacante tenta manter seu prprio domnio sobre o sistema. Poder tambm protege-lo de
outros atacantes atravs da utilizao de acessos exclusivos obtidos atravs de rootkits, backdoors ou
trojans.
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos no autorizados com o
objetivo de prolongar sua permanncia na mquina hospedeira, na utilizao indevida dos recursos
computacionais.
Fase onde o atacante explora a rede baseado nas informaes obtidas na fase de reconhecimento.
uma fase preparatria onde o atacante procura coletar o maior nmero possvel de informaes sobre o
alvo em avaliao antes do lanamento do ataque.
Se um invasor mal intencionado desejasse utilizar de uma ferramenta para mapear potenciais vulnerabilidades
em computadores, assegurar o acesso futuro a estes computadores e remover as evidncias de suas aes, qual
ferramenta (malware) ele utilizaria como sendo a mais eficaz dentre as apresentadas nas opes abaixo?
Bot
Rootkit
Spyware
Worm
Adware
Segundo a NBR ISO/IEC 27002 a poltica de segurana pode ser parte de um documento da poltica geral.
Normalmente o documento de poltica geral dividido em vrios documentos. Qual das opes abaixo apresenta
um conjunto tpico destes documentos?
Manuais; Normas e Procedimentos
Diretrizes; Manuais e Procedimentos
Diretrizes; Normas e Procedimentos
Manuais; Normas e Relatrios
Diretrizes; Normas e Relatrios
Segundo a RFC 2828 os ataques podem ser definidos como um ataque segurana do sistema, derivado de
uma ameaa inteligente, ou seja, um ato inteligente que uma tentativa deliberada de burlar os servios de
segurana e violar a poltica de segurana de um sistema. Os ataques ser classificados como:
Forte e Fraco
Passivo e Ativo
Secreto e Vulnervel
Passivo e Vulnervel
Secreto e Ativo
Segundo os conceitos da Segurana da Informao podemos classificar as medidas de proteo de acordo com
a sua ao e o momento em que ocorre. Baseado nesta premissa, podemos afirmar que a medida de proteo
classificada como Limitao possui a finalidade de:
Reparar falhas existentes.
Diminuir danos causados.
Reagir a Determinados incidentes.
Evitar que acidentes ocorram.
Desencorajar a prtica de aes.
Segundo os conceitos de Segurana da Informao as protees so medidas que visam livrar os ativos de
situaes que possam trazer prejuzo. Neste contexto qual das opes abaixo apresenta os tipos proteo
possveis de serem aplicadas s organizaes?
Administrativa, Fsica e Lgica.
Administrativa, Contbil e Fsica.
Lgica, Administrativa e Contbil.
Lgica, Fsica e Programada.
Administrativa, Fsica e Programada.

99) Segundo os princpios da Segurana da Informao, qual das opes abaixo representa melhor o conceito de
Ativo de Informao?
So aqueles que constroem, do acesso, transmitem ou armazenam informaes.
So aqueles que produzem, processam, transmitem ou armazenam informaes.
So aqueles que organizam, processam, publicam ou destroem informaes.
So aqueles que produzem, processam, renem ou expem informaes.
So aqueles tratam, administram, isolam ou armazenam informaes
100)
Suponha que um hacker esteja planejando um ataque a uma empresa. Qual o tipo de ataque ele ir utilizar
para realizar o levantamento das informaes em relao empresa ou rede a ser atacada?
O ataque do tipo ativo, pois tem como objetivo de bisbilhotar ou monitora transmisses.
O ataque do tipo passivo, pois tem como objetivo de bisbilhotar ou monitora transmisses.
Ataque do tipo passivo, pois tem como objetivo modificar o fluxo de dados ou a criar um fluxo falso.
O ataque do tipo ativo, pois tem como objetivo modificar o fluxo de dados ou a criar um fluxo falso.
O ataque do tipo direto, pois alm de monitorar as transmisses ainda modifica o fluxo das informaes.
101)
Tendo em vista a mudana de paradigma no modo como as empresas e as pessoas trabalham e a forma
como a tecnologia da informao apoia as operaes e processos das empresas, qual das opes abaixo poder
ser escolhida como sendo aquela que possui os elementos fortemente responsveis por este processo?
O uso da internet para sites de relacionamento;
O crescimento explosivo dos cursos relacionados com a tecnologia da informao;
O crescimento explosivo da internet e das suas respectivas tecnologias e aplicaes;
O Aumento no consumo de softwares licenciados;
O crescimento explosivo da venda de computadores e sistemas livres;
102)
Um fator importante em um processo de classificao da informao o nvel de ameaa conhecido que
cada informao tem. Quando uma informao classificada como pblica, podendo ser utilizada por todos sem
causar danos organizao, podemos afirmar que ela possui qual nvel de segurana?
Secreta.
Interna.
As opes (a) e (c) esto corretas.
Confidencial.
Irrestrito.
103)
Um Firewall pode ser definido como uma coleo de componentes, colocada entre duas redes, que
coletivamente possua propriedades que:
garantem que todo o trfego de dentro para fora da rede, e vice-versa, passe por ele. Somente o trfego
autorizado pela poltica de segurana pode atravessar o firewall e, finalmente, ele deve ser prova de
violao.
garantem que todo o trfego de dentro para fora da rede e vice-versa deve ser bloqueado,
independentemente da poltica de segurana adotada. Todo firewall deve ser prova de violao.
independentemente da poltica de segurana adotada, tem como objetivo principal impedir a entrada de vrus
em um computador, via arquivos anexados a e-mails.
garantem que apenas o trfego de dentro para fora da rede deve passar por ele. Somente o trfego
autorizado pela poltica de segurana pode atravessar o firewall e, finalmente, ele deve ser prova de
violao.
garantem que apenas o trfego de fora para dentro da rede deve passar por ele. Somente o trfego
autorizado pela poltica de segurana pode atravessar o firewall e, finalmente, ele deve ser prova de
violao.
104)
Um grande banco teve o saldo da conta corrente de vrios clientes alterados devido a ocorrncia de um
ataque externo. O ataque ocorreu atravs da tela de entrada do sistema que faz uma consulta ao banco de
dados de cadastro do cliente. Neste caso, foi utilizado um ataque de:
Fragmentao de Pacotes IP
SQL Injection
Fraggle
Smurf
Buffer Overflow
105)
Um grupo especfico de medidas preventivas chamado de barreiras de segurana, uma barreira
corresponde a qualquer obstculo para prevenir um ataque podendo ser fsica, lgica ou mesmo uma
combinao de ambas. Neste sentido podemos definir a barreira "Detectar":
Esta barreira deve munir a soluo de segurana de dispositivos que sinalizem , alertem e instrumentem os
gestores da segurana na deteco de situaes de risco.

 Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos,
definindo perfis e autorizando permisses.
Esta barreira tem um sentido especial de representar a continuidade do processo de gesto de segurana da
informao.
Esta a primeira das barreiras de segurana e cumpre o papel importante de desencorajar as ameaas.
Esta barreira representa o objetivo de impedir que a ameaa atinja os ativos que suportam o negcio.
106)
Um hacker est planejando um ataque a uma importante empresa de E-commerce. Desta forma ser
necessrio levantar quais os servios de rede esto disponveis na rede da empresa. Para alcanar o seu
objetivo o invasor tentar levantar estas informaes atravs da escuta das portas do protocolo TCP e UDP.
Neste caso estamos nos referindo a um ataque do tipo:
Three-way-handshake
Fragmentao de Pacotes IP
Fraggle
Port Scanning
SYN Flooding
107)
Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando,
isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador
pode ser descrito como sendo um:
keylogger
backdoor
exploit
spyware
vrus
108)
Um tipo de software especificamente projetado para apresentar propagandas, seja atravs de um browser,
seja atravs de algum outro programa instalado em um computador pode ser descrito como sendo um:
Adware
Active-x
Worm
Spyware
Java Script
109)
Voc est trabalhando em um projeto de classificao de informao e sua empresa trabalha no ramo
financeiro, onde a divulgao de determinadas informaes pode causar danos financeiros ou imagem da sua
empresa, alm de gerar vantagens aos concorrentes e tambm possveis perda de clientes. Neste caso voc
classificaria estas informaes em qual nvel de segurana?
Confidencial.
Pblica.
Interna.
Irrestrito.
Secreta.
110)
Voc est trabalhando em um projeto de implantao da continuidade de negcios em sua organizao.
Voc est na fase do projeto que a anlise de impacto nos negcios. Analise a opo que melhor retrata as
aes que voc deve realizar:
Levantar o grau de relevncia dos usurios ou atividades que compe a entrega de produtos e servios
desnecessrios para a organizao.
Levantar o grau de relevncia dos processos ou atividades que compe a entrega de produtos e servios
fundamentais para a organizao.
Levantar o grau de dificuldade dos processos ou atividades que compe a entrega de produtos e servios
desnecessrios para a organizao.
Levantar o grau de dificuldade dos processos ou atividades da rea de TI que compe a entrega de produtos
e servios fundamentais para a organizao.
Levantar o grau de relevncia dos processos ou hardware que compe a entrega de produtos e servios
fundamentais para a organizao.
111)
Voc est trabalhando em um projeto de implantao da continuidade de negcios em sua organizao.
Voc est na fase do projeto que necessrio determinar a estratgia de continuidade de negcios. Analise a
opo que melhor retrata a estratgia a ser definida:
A organizao deve liberar medidas urgentes para reduzir a probabilidade de ocorrncia de incidentes e seus
efeitos.

 A organizao deve liberar todas as medidas apropriadas para impedir a ocorrncia de incidentes e seus
efeitos.
A organizao deve implementar medidas apropriadas diminuir o impacto da ocorrncia de incidentes e seus
efeitos.
A organizao deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrncia
de incidentes e seus efeitos.
A organizao deve implementar medidas apropriadas para reduzir a probabilidade de ocorrncia de
incidentes e seus efeitos.
112)
Voc est trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um
servidor de banco de dados somente para consulta dos usurios internos da organizao. Em qual tipo de rede
voc localizaria este servidor considerando que voc ir utilizar o conceito de permetro de segurana?
na Zona Desmilitarizada (DMZ) suja
em uma subrede externa protegida por um proxy
ligado diretamente no roteador de borda
na rede interna da organizao
na Zona Desmilitarizada (DMZ) protegida
113)
Voc est trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um
servidor Internet para que os clientes possam acessar as informaes oferecidas pela empresa seus clientes.
Em qual tipo de rede voc localizaria este servidor considerando que voc ir utilizar o conceito de permetro de
segurana?
na Zona Desmilitarizada (DMZ) protegida
na Zona Desmilitarizada (DMZ) suja
na rede interna da organizao
ligado diretamente no roteador de borda
em uma subrede interna protegida por um proxy
114)
Voc est trabalhando em um projeto de segurana e necessita identificar os principais tipos de ameaas
que podem comprometer a segurana da informao na sua empresa. Foram detectados em algumas mquinas
programas que permitem o retorno de um invasor a um computador comprometido utilizando servios criados ou
modificados para este fim e sem precisar recorrer aos mtodos utilizados na invaso. Neste caso podemos
classificar esta ameaa como sendo um:
Backdoor
Bots
Virus
Spyware
Worm
115)
Voc precisa elaborar um relatrio com o resultado da anlise de vulnerabilidades que foi realizada na sua
empresa. Voc percebeu que no levantamento das vulnerabilidades do ambiente de TI foram encontradas
inconsistncias. Qual das opes abaixo no pode ser considerada como um exemplo de um tipo de
vulnerabilidade que pode ser encontrada num ambiente de TI?
Fraqueza nas implementaes de segurana dos sistemas operacionais/aplicativos.
Falha na transmisso de um arquivo por uma eventual queda de energia.
Falhas nas implementaes de segurana nos compartilhamentos de rede e arquivos.
Falhas nos softwares dos equipamentos de comunicaes.
Fraqueza de segurana/falhas nos scripts que executam nos servidores web.
116)
Voc trabalha na rea de administrao de rede e para aumentar as medidas de segurana j
implementadas pretende controlar a conexo a servios da rede de um modo indireto, ou seja, impedindo que os
hosts internos e externos se comuniquem diretamente. Neste caso voc optar por implementar:
Um filtro de pacotes
Um firewall com estado
Um servidor proxy
Um roteador de borda
Um detector de intruso
117)
Voc trabalha na rea de segurana da sua empresa e com objetivo de reduzir os riscos na rea de
infraestrutura, pretende instalar algumas cmeras de vdeo, alm da colocao de avisos sobre a existncia de
alarmes. Neste caso que tipo de barreira voc est implementando?
Deter
Detectar
Dificultar

 Desencorajar
Discriminar
118)
Voc trabalha na equipe de gesto de risco da sua empresa e tem percebido que mesmo aps todas as
medidas de tratamento de risco terem sido adotas, sempre existe alguma poro de risco que no eliminada.
Neste caso estamos nos referindo a que tipo de risco:
Risco verdadeiro;
Risco residual;
Risco tratado;
Risco percebido;
Risco real;
119)
Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque
DDoS e foi descrito como o maior j sofrido pela empresa. Como resultado desse ataque, quase 18 MILHES de
blogs, incluindo os que fazem parte do servio VIP da empresa sofreram com problemas nos acessos. Entre eles,
esto inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcanou vrios Gigabits por
segundo e alguns milhes de pacotes por segundo. Apesar do ataque ter atingido trs data centers do
Wordpress, a investigao suspeita que o ataque tenha tido motivaes polticas e o alvo tenha sido um blog.
Qual voc acha que foi a vulnerabilidade para este ataque?
Vulnerabilidade Natural
Vulnerabilidade Mdias
Vulnerabilidade Fsica
Vulnerabilidade Comunicao
Vulnerabilidade Software
120)
A preservao da confidencialidade, integridade e disponibilidade da informao utilizada nos sistemas de
informao requer medidas de segurana, que por vezes so tambm utilizadas como forma de garantir a
autenticidade e o no repdio. As medidas de segurana podem ser classificadas, em funo da maneira como
abordam as ameaas, em duas grandes categorias. Quais so elas e como so definidas?
A preveno: o conjunto das medidas que visam reduzir a probabilidade de concretizao das ameaas
existentes. O efeito destas medidas extingue-se quando uma ameaa se transforma num incidente. A proteo:
o conjunto das medidas que viso dotar os sistemas de informao com capacidade de inspeo, deteco,
reao e reflexo, permitindo reduzir e limitar o impacto das ameaas quando estas se concretizam. Naturalmente,
estas medidas s atuam quando ocorre um incidente.
121)
Cada empresa ao tratar a segurana da informao e independentemente de sua rea de negcio e dos
objetivos de segurana que deseje, normalmente ir utilizar um ou os trs princpios fundamentais da segurana
da informao. Fale sobre cada um dos trs princpios.
Disponibilidade: Garantia de que s usurios autorizados obtm acesso informao e aos ativos
correspondentes sempre que necessrio. Integridade: Salvaguardar a exatido e completeza da informao e
dos mtodos de processamento. Confidencialidade: Garantia de que os usurios autorizados obtm acesso
informao e aos ativos correspondentes sempre que necessrios
122)
Dado o carter abstrato e intangvel da informao, seu valor est associado a um contexto. A informao
ter valor econmico para uma organizao se ela gerar lucros ou se for alavancadora de vantagem competitiva,
caso contrrio poder ter pouco ou nenhum valor. Neste sentido descreva o ciclo de vida da informao,
identificando os momentos vividos pela informao.
Manuseio: Momento em que a informao criada e manipulada. Armazenamento: Momento em que a
informao armazenada. Transporte: Momento em que a informao transportada. Descarte: Momento em
que a informao descartada.
123)
Entre os tipos de ataques existentes, descreva as diferenas entre um ataque do tipo Fraggle e do tipo
Smurf.
Um ataque do tipo Fraggle consitem no envio de um excessivo nmero de pacotes PING para o domnio de
broadcast da rede, tendo como endereo IP de origem, a vtima desejada. Dessa forma todos os hosts do
domnio de broadcast iro responder para o endereo IP da vtima, que foi mascarado pelo atacante, ficando
desabilitada de suas funes normais. J um ataque do tipo smurf idntico ao atque Fraggle, alterando apenas
o fato que utiliza-se de pacotes do protocolo UDP.
124)
Entre os tipos de ataques existentes, descreva as diferenas entre um ataque do tipo SQL Injection e um
ataque de Buffer Overflow?
Ataque do tipo SQL Injection um tipo de ataque que se aproveita de falhas em sistemas que interagem com
bases de dados atravs da utilizao de SQL. A injeo de SQL ocorre quando o atacante consegue inserir uma
srie de instrues SQL dentro de uma consulta (query) atravs da manipulao das entradas de dados de uma

aplicao. J o ataque de Buffer overflow consiste em enviar para um programa que espera por uma entrada de
dados qualquer, informaes inconsistentes ou que no esto de acordo com o padro de entrada de dados.
125)
Identificar as vulnerabilidades que podem contribuir para as ocorrncias de incidentes de segurana um
aspecto importante na identificao de medidas adequadas de segurana. Qual a diferena entre anlise de
vulnerabilidade, teste de vulnerabilidade e pesquisa de vulnerabilidade?
Anlise vulnerabilidade: Verificar a existncia de falhas de segurana no ambiente de TI das empresas. Teste de
vulnerabilidade: Determinao de que falhas de segurana podem ser aplicadas mquina ou rede alvo.
Pesquisa de vulnerabilidade: Significa descobrir as falhas e deficincia em um produto ou aplicao que podem
comprometer a segurana.
126)
No mbito da segurana da Informao, uma das etapas de implementao a classificao da Informao.
Em que consiste o processo de classificao da Informao?
O processo de classificao da informao consiste em identificar quais so os nveis de proteo que as
informaes demandam e estabelecer classes e formas de identific-las, alm de determinar os controles de
proteo a cada uma delas.
127)
No contexto da segurana da informao, defina os conceitos de Ativo, Vulnerabilidade e Ameaa.
Ativo: qualquer coisa que tenha valor para a organizao. Vulnerabilidade: A ausncia de um mecanismo de
proteo ou falhas em um mecanismo de proteo existente. Ameaa: Evento que tem potencial em si prprio
para comprometer os objetivos da organizao, seja trazendo danos diretos aos ativos ou prejuzos decorrentes
de situaes inesperadas.
128)
Um Analista de segurana dever ter familiaridade com as ferramentas, tcnicas, estratgias e metodologias
de ataques conhecidos para que possa desta forma contribuir com a definio correta de quais contramedidas
devero ser adotadas pela organizao. Descreva os cinco passos utilizados pelos atacantes para realizar um
ataque:
1 - Levantamento das informaes: fase de reconhecimento uma fase preparatria onde o atacante procura
coletar o maior nmero possvel de informaes sobre o alvo em avaliao antes do lanamento do ataque.
Podem ser: ativo e passivo. 2 - Explorao das informaes (scanning): Fase onde o atacante explora a rede
baseado nas informaes obtidas na fase de reconhecimento. Pode ser considerado uma fase de pr-ataque
envolve a utilizao de diferentes tcnicas e softwares, como por exemplo, a utilizao de port scan, scanner de
vulnerabilidade e network mapping. 3 -Obteno do acesso: Esta fase consiste na penetrao do sistema
propriamente dita. Nesta fase so exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer
atravs da internet, da rede local, fraude ou roubo. Nesta fase o atacante poder obter acesso a nvel de: sistema
operacional, aplicao e rede. 4 - Manuteno do acesso: Nesta fase o atacante tenta manter seu prprio
domnio sobre o sistema. Poder tambm protge-lo de outros atacantes atravs da utilizao de acessos
exclusivos obtidos atravs de rootkits, backdoors ou trojans. 5 Camuflagem das evidncias: Consiste na
atividade realizada pelo atacante de tentar camuflar seus atos no autorizados com o objetivo de prolongar sua
permanncia na mquina hospedeira, na utilizao indevida dos recursos computacionais
129)