GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Banco de Questões
1) A análise de vulnerabilidade permite que os profissionais de segurança e TI da empresa possam ter maior
conhecimento do ambiente de TI e seus problemas. Qual das opções abaixo não é um exemplo de teste de
vulnerabilidade lógica em maquinas de uma rede alvo?
 Aplicativos instalados.
 Ruídos elétricos na placa wireless.
 Os Sistemas operacionais utilizados.
 Patches e service packs aplicados.
 Verificar as portas do protocolo TCP/IP que se encontram desprotegidas (abertas).
2) A empresa ABC está desenvolvendo uma política de segurança da Informação e uma de suas maiores
preocupações é com as informações críticas e sigilosas da empresa. Como estas informações impressas em
papel serão descartadas. Qual o tipo de ataque está preocupando a empresa ABC?
 Smurf
 Dumpster diving ou trashing
 SYN Flooding
 Phishing Scam
 Fraggle
3) A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de
informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi
utilizado um ataque de:
 Buffer Overflow
 Fragmentação de Pacotes IP
 Fraggle
 SQL Injection
 Smurf
4) A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar lucros ou
ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das opções
abaixo apresenta os quatro aspectos importantes para a classificação das informações?
 Confiabilidade, integridade, risco e valor.
 Confiabilidade, integridade, vulnerabilidade e valor.
 Confidencialidade, integridade, disponibilidade e valor.
 Confidencialidade, integridade, disponibilidade e vulnerabilidade.
 Confidencialidade, vulnerabilidade, disponibilidade e valor.
5) A NBR ISO/IEC 27002 orienta que a organização assegurar que funcionários, fornecedores e terceiros entendam
suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo,
fraude ou mau uso dos recursos. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação
de Segurança:
 Gerenciamento das Operações e Comunicações.
 Segurança em Recursos Humanos.
 Segurança Física e do Ambiente.
 Segurança dos Ativos.
 Controle de Acesso.
6) A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do
negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a
sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de
Segurança?
 Controle de Acesso
 Segurança Física e do Ambiente.
 Gestão de Incidentes de Segurança da Informação
 Gestão da Continuidade do Negócio
 Gerenciamento das Operações e Comunicações
7) A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua
pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções
abaixo Não poderá ser considerada como um elemento para a realização desta análise:
 Os resultados das auditorias anteriores e análises críticas;
  A avaliação das ações preventivas e corretivas;
 A avaliação dos riscos e incidentes desejados;
 Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores;
 A realimentação por parte dos envolvidos no SGSI.
8) A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos
eventos monitorados e através de ações:
 Prevenção e Preventivas.
 Corretivas e Preventivas.
 Corrigidas e Preventivas.
 Corretivas e Corrigidas.
 Corretivas e Correção.
9) A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo
(inseguro), é conhecida como:
 zona desmilitarizada (DMZ).
 tcp/ip.
 backbone.
 wi-fi.
 pki.
10) A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus
respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a
disponibilidade, qual das definições abaixo expressa melhor este princípio:
 Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira
não autorizada e aprovada.
 Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou
ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados.
 Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou
processos.
 Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para
um usuário, entidade, sistema ou processo autorizado e aprovado.
 Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, sistemas ou
processos autorizados e aprovados, não deveriam ser passíveis de cancelamento posterior.
11) A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a
que tipo de proteção?
 Recuperação .
 Reação.
 Preventiva.
 Limitação.
 Correção.
12) A utilização de diferentes técnicas e softwares,como por exemplo, a utilização de port scan, scanner de
vulnerabilidade e network mapping pode estar associada a qual dos Passos abaixo realizados por um Atacante?
 Exploração das Informações
 Obtenção de Acesso.
 Manutenção do Acesso
 Camuflagem das Evidências
 Levantamento das Informações
13) Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua
origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças?
 Secreta e Oculta
 Conhecida e Externa
 Secreta e Externa
 Interna e Externa
 Interna e Oculta
14) Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves
assimétricas, sendo uma delas pública e a outra privada, emitidas por autoridade certificadora confiável. Uma
mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições:
1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho;
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana
 3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores.
A mensagem de Ana para Bernardo deve ser assinada
 com a chave privada de Bernardo e criptografada com a chave pública de Ana.
 e criptografada com a chave pública de Ana.
 com a chave pública de Ana e criptografada com a chave privada de Bernardo.
 e criptografada com a chave privada de Bernardo.
 com a chave privada de Ana e criptografada com a chave pública de Bernardo.
15) Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade
quanto pela de disponibilidade¿. Esta afirmação é:
 falsa, pois não existe alteração de nível de segurança de informação.
 verdadeira desde que seja considerada que todas as informações são publicas.
 falsa, pois a informação não deve ser avaliada pela sua disponibilidade.
 verdadeira se considerarmos que o nível não deve ser mudado.
 verdadeira, pois a classificação da informação pode ser sempre reavaliada.
16) Analise a frase abaixo: ¿Capacidade de uma organização de resistir aos efeitos de um incidente.¿ Assinale qual
das opções representa o conceito correto da frase acima:
 Restauração
 Rescaldo
 Resiliência
 Recuperação
 Resistência
17) Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para isso
implementou um programa que que irá coletar informações pessoais e financeiros da vítima. Para obter sucesso
no ataque, Antônio irá induzir o acesso a página fraudulenta através do envio de uma mensagem não solicitada.
Neste caso estávamos nos referindo ao ataque do tipo:
 Source Routing
 SQL Injection
 Shrink wrap code
 DDos
 Phishing Scan
18) Ao analisarmos a afirmativa: “Devemos levar em consideração que diferentes ameaças possuem impactos
diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma
ameaça”. Podemos dizer que é:
 verdadeira.
 falsa, pois não depende do ativo afetado.
 parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça.
 falsa, pois os impactos são sempre iguais para ameaças diferentes.
 falsa, pois não devemos considerar que diferentes ameaças existem.
19) Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de
dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não
autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os
arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque?
 Levantamento das Informações
 Obtenção de Acesso
 Camuflagem das Evidências
 Divulgação do Ataque
 Exploração das Informações
20) As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos
por meio da exploração de vulnerabilidades. As ameaças inconscientes, quase sempre causadas pelo
desconhecimento poderão ser classificadas como:
 Inconsequentes.
 Voluntárias.
 Involuntárias.
 Ocasionais.
 Naturais.
21) As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos
por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das
ameaças quanto a sua intencionalidade?
  Ocasionais, Involuntárias e Obrigatórias.
 Naturais, Involuntárias e Voluntarias.
 Naturais, Involuntárias e Obrigatórias.
 Naturais, Voluntarias e Vulneráveis.
 Naturais, Voluntarias e Obrigatórias.
22) As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim
foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na
China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a
acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas
pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas
desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque?
 Vulnerabilidade Mídia
 Vulnerabilidade de Software
 Vulnerabilidade Natural
 Vulnerabilidade Comunicação
 Vulnerabilidade Física
23) As proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo e podemos
classificá-las de acordo com a sua ação e o momento em que ocorre. Qual das opções abaixo não corresponde à
classificação das proteções de acordo com a sua ação e o momento na qual ela ocorre:
 Ameaça.
 Risco.
 Impacto.
 Vulnerabilidade.
 Preventivas.
24) As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de
uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos
de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de
Vulnerabilidade na ótica da Segurança da Informação?
 Impacto presente ou associada a ativos que manipulam ou processam informações.
 Fragilidade presente ou associada a ameaças que manipulam ou processam informações .
 Fragilidade presente ou associada a ativos que manipulam ou processam informações .
 Ameaça presente ou associada a ativos que manipulam ou processam informações.
 Fragilidade presente ou associada a ativos que exploram ou processam informações .
25) As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar
privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de
cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a
Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Software:
 Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
 Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda
de dados ou indisponibilidade de recursos quando necessários.
 Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
 Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
 Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
26) Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar,
antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de
natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para
varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi
utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não
comprometendo aos dados internos e críticos que não devem ser divulgados. Qual você acha que foi a
vulnerabilidade para este ataque?
 Vulnerabilidade Mídias
 Vulnerabilidade Software
 Vulnerabilidade Física
 Vulnerabilidade Natural
 Vulnerabilidade Comunicação
27) Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os
hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam
os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o
 endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os
dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque?
 Vulnerabilidade Mídia
 Vulnerabilidade Física
 Vulnerabilidade Natural
 Vulnerabilidade de Comunicação
 Vulnerabilidade de Software
28) Baseado no conceito de que as proteções são medidas que visam livrar os ativos de situações que possam
trazer prejuízo e que podemos classificá-las de acordo com a sua ação e o momento em que ocorre. Qual das
opções abaixo não corresponde à classificação das proteções de acordo com a sua ação e o momento na qual
ela ocorre:
 Preventivas.
 Destrutivas.
 Detecção.
 Correção.
 Desencorajamento.
29) Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a
organização certificada:
 implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais
das empresas de TI.
 implementou um sistema para gerência da segurança da informação de acordo com os desejos de
segurança dos funcionários e padrões comerciais.
 implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores
práticas de segurança reconhecidas no mercado.
 implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos
de segurança dos Gerentes de TI.
 implementou um sistema para gerência da segurança da informação de acordo com os padrões de
segurança de empresas de maior porte reconhecidas no mercado.
30) Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como
a tecnologia da informação tem apoiado as operações das empresas, qual das opções abaixo não é verdadeira
quando tratamos do conceito de ¿Informação¿ ?
 É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la.
 É fundamental proteger o conhecimento gerado.
 Deve ser disponibilizada sempre que solicitada.
 A informação é vital para o processo de tomada de decisão de qualquer corporação.
 Pode conter aspectos estratégicos para a Organização que o gerou.
31) Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos
dizer que:
 A afirmativa é falsa.
 A afirmativa é verdadeira somente para vulnerabilidades lógicas.
 A afirmativa é verdadeira somente para ameaças identificadas.
 A afirmativa é verdadeira somente para vulnerabilidades físicas.
 A afirmativa é verdadeira.
32) Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da
informação.
 Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
 Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
 A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
 Os riscos residuais são conhecidos antes da comunicação do risco.
 Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a
aceitação do plano de tratamento do risco pelos gestores da organização.
33) Como não existe uma única causa para o surgimento das vulnerabilidades, diferentes tipos de vulnerabilidade
podem estar presente em diversos ambientes computacionais. Qual das opções abaixo "NÃO" representa um
exemplo de tipo de vulnerabilidade?
 Administrativa
 Comunicação
 Humana
 Física
  Natural
34) Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Neste
contexto qual das opções abaixo indica o tipo de “valor da informação” que pode ser atribuído ao seguinte
conceito: ”É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda)”.
 Valor de restrição.
 Valor de troca.
 Valor de utilidade.
 Valor de propriedade.
 Valor de uso.
35) Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Qual das
opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para
as organizações quando tratamos de Segurança da Informação?
 Valor de propriedade.
 Valor de restrição.
 Valor de uso.
 Valor de troca.
 Valor de orçamento.
36) Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor está
associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for
alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Segundo os conceitos
da Segurança da Informação, onde devemos proteger as informações?
 Nas Ameaças.
 Nas Vulnerabilidades.
 Nos Ativos.
 Nas Vulnerabilidades e Ameaças.
 Nos Riscos.
37) Considere que uma organização deseje verificar a existência de falhas de segurança em seu ambiente de TI,
através de um levantamento detalhado deste ambiente para que possa implementar controles eficientes sobre
seus ativos. Para isso, selecione qual das opções abaixo aponta a melhor ferramenta que esta organização
deverá utiliza para esta verificação:
 Análise de Informação.
 Análise de Vulnerabilidade.
 Análise de Usuários.
 Análise de Confiabilidade.
 Análise de Impacto.
38) Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de
usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um
determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma
informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na
segurança da informação para este sistema na propriedade relacionada à:
 Privacidade;
 Integridade;
 Confidencialidade;
 Disponibilidade;
 Não-repúdio;
39) Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de
usuários denominados ¿auditores¿. Um usuário de um outro grupo, o grupo ¿estudante¿, tenta acessar o
sistema em busca de uma informação que somente o grupo ¿auditores¿ tem acesso e consegue. Neste caso
houve uma falha na segurança da informação para este sistema na propriedade relacionada à:
 Não-Repúdio;
 Confidencialidade;
 Auditoria;
 Disponibilidade;
 Integridade;
40) De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID
difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e
de segurança¿, podemos dizer que:
 A afirmação é falsa.
  A afirmação será somente verdadeira se as empresas forem de um mesmo mercado.
 A afirmação é somente falsa para as empresas privadas.
 A afirmação é somente verdadeira para as empresas privadas.
 A afirmação é verdadeira.
41) Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de
diversas propriedades e que permitem a organização destes ativos em grupos com características semelhantes
no que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções abaixo define a
classificação dos tipos de ativos?
 Contábil e Não Contábil.
 Material e Tangível.
 Tangível e Intangível.
 Intangível e Qualitativo.
 Tangível e Físico.
42) Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de
diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da
Informação:
 Tudo aquilo que tem valor para a organização.
 Tudo aquilo que não manipula dados.
 Tudo aquilo que a empresa usa como inventario contábil.
 Tudo aquilo que não possui valor específico.
 Tudo aquilo que é utilizado no Balanço Patrimonial.
43) Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser
classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar a
conexão ou não a um serviço em uma rede modo indireto ?
 Filtro com Pacotes
 Firewall de Borda
 Firewall Indireto
 Firewall com Estado
 Firewall Proxy
44) Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções
abaixo Não representa um destes tipos de ataques?
 Ataque à Aplicação
 Ataque aos Sistemas Operacionais
 Ataques Genéricos
 Ataque de Configuração mal feita
 Ataque para Obtenção de Informações
45) João configurou nas máquinas servidoras da empresa que trabalha o serviço de Log de forma a registrar as
operações realizadas pelos usuários se serviços do sistema. Neste caso, João está implementando uma
propriedade de segurança relacionada à(o):
 Integridade;
 Auditoria;
 Não-Repúdio;
 Confidencialidade;
 Disponibilidade;
46) João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede
através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da
empresa. Qual o tipo de ataque que o invasor está tentando utilizar?
 Fragmentação de pacotes IP
 Port Scanning
 SYN Flooding
 Fraggle
 Ip Spoofing
47) João e Pedro são administradores de sistemas de uma importante empresa e estão instalando uma nova versão
do sistema operacional Windows para máquinas servidoras. Durante a instalação Pedro percebeu que existem
uma série de exemplos de códigos já prontos para serem executados, facilitando assim o trabalho de
administração do sistema. Qual o tipo de ataque que pode acontecer nesta situação?
 Phishing Scan
 Dumpster Diving ou Trashing
  Fraggle
 Smurf
 Shrink Wrap Code
48) Na gestão de risco, o registro da debilidade no sistema atual de proteção em relação a todas as ameaças em
potencial, é realizado durante a atividade:
 análise de perdas.
 análise de custo-benefício.
 análise de proteção.
 avaliação dos ativos.
 vulnerabilidade dos ativos.
49) Na implantação da Gestão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da
organização para garantir que:
 As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas
 As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas
 As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas
 As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas
 As metas e objetivos definidos sejam comprometidos por interrupções inesperadas
50) Na vulnerabilidade dos sistemas, o cavalo de troia e os applets mal intencionados são exemplos de métodos de
ataque do tipo:
 adulteração de dados.
 falhas humanas.
 fraude de programação.
 falhas do sistema computacional.
 ameaças não intencionais.
51) Não se pode dizer que há segurança da informação, a menos que ela seja controlada e gerenciada. A segurança
da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de
Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da
informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto
mantém em perspectiva os objetivos do negócio e as expectativas do cliente. Para estabelecer o SGSI-
SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir:
 Identificar e avaliar as opções para o tratamento das vulnerabilidades.
 A abordagem de análise/avaliação das vulnerabilidades da organização.
 A politica de gestão de continuidade de negócio.
 Identificar, Analisar e avaliar os riscos.
 A política do BIA.
52) Nas estratégias contingência implementadas pelas empresas, qual das opções abaixo NÃO é considerada uma
estratégias de contingência?
 Realocação de Operação
 Hot Site
 Cold Site
 Warm Site
 Small Site
53) No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a justificativa de defender
a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal,
Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado
hospedagem, bloqueado recursos financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo
vazamento de mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a
vulnerabilidade neste ataque?
 Vulnerabilidade Física
 Vulnerabilidade Mídia
 Vulnerabilidade de Comunicação
 Vulnerabilidade de Software
 Vulnerabilidade Natural
54) No contexto da Segurança da Informação, a medida que indica a probabilidade de uma determinada ameaça se
concretizar, combinada com os impactos que ela trará está relacionada com qual conceito de?
 Impacto.
 Risco.
 Ameaça.
  Vulnerabilidade.
 Valor.
55) O advento da internet e a globalização transformaram completamente o mundo que vivemos e
consequentemente estão revolucionando o modo de operação das empresas. A demanda gradual por
armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável.
Por que as organizações devem proteger as suas informações?
 Somente pelo seu valor financeiro.
 Pelos seus valores internos e qualitativos.
 Pelos seus valores estratégicos e qualitativos.
 Somente pelos seus valores qualitativos e financeiros.
 Pelos seus valores estratégicos e financeiros.
56) O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de
operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia
as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode
ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas?
 Apoio aos Processos
 Apoio ao uso da Internet e do ambiente wireless
 Apoio às Operações
 Apoio à tomada de decisão empresarial
 Apoio às Estratégias para vantagem competitiva
57) O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos
diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual conceito?
 Risco.
 Vulnerabilidade.
 Ameaça.
 Valor.
 Impacto.
58) O Exploit é um termo muito utilizado em segurança da informação. Qual das opções abaixo descreve o que
conceito de um Exploit?
 Um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das
vulnerabilidades de um sistema computacional.
 Um programa de computador, uma porção de dados ou uma sequência de comandos para reduzir as
ameaças de um sistema computacional.
 Um programa de computador, uma porção de dados ou uma sequência de comandos que implementa
vulnerabilidades em um sistema computacional.
 Um programa de computador, uma porção de dados ou uma sequência de comandos que deve ser
amplamente utilizado em um sistema computacional.
 Um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das
ameaças de um sistema computacional.
59) O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não
pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações?
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos;
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros;
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia;
 Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos;
 Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais;
60) O que ocorre quando uma ameaça explora uma ou mais vulnerabilidades de um ativo segundo os conceitos da
Segurança da Informação?
 Uma falha na ameaça do ativo.
 Um acidente de Segurança da Informação.
 Uma tentativa de Segurança.
 Um Incidente de Segurança.
 Um tratamento de vulnerabilidades.
61) O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma
determinada ameaça causará está relacionado com qual conceito de?
 Valor.
 Risco.
 Impacto.
  Vulnerabilidade.
 Ameaça
62) O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos
anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração
desses dados de forma confiável. Neste contexto qual das opções abaixo poderá definir melhor o conceito de
“Dado”?
 Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões de fatos ou
situações.
 Elemento identificado em sua forma trabalhada e que por si só conduz a várias compreensões de fatos e
situações.
 Elemento não identificado e que por si só não conduz a uma compreensão de determinado fato ou situação.
 Elemento identificado em sua forma trabalhada que por si só não conduz a uma compreensão de
determinado fato ou situação.
 Elemento identificado em sua forma bruta e que porsi só não conduz a uma compreensão de determinado
fato ou situação.
63) Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual
das opções abaixo não está em conformidade com as orientações da norma citada?
 Confirmar a natureza e extensão do incidente
 Comunicar-se com as partes interessadas
 Controlar o incidente
 Afastar o incidente do cliente
 Tomar controle da situação
64) Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é correto
afirmar que?
 A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes
 A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave
 A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a mesma chave
 A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas chaves
 A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes
65) Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As
consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios
para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos,
alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de
ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias:
 Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser ocasionados por
falha no treinamento, acidentes, erros ou omissões.
 Erros propositais de instalação ou de configuração possibilitando acessos indevidos.
 Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc.
 Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas
comunicações.
 Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc.
66) Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta?
 Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações.
 Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a
Disponibilidade das Informações.
 Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Probabilidade
das Informações.
 Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações.
 Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a Disponibilidade
das Informações.
67) Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das
opções abaixo Não representa um destes passos?
 Exploração das Informações
 Levantamento das Informações
 Camuflagem das Evidências
 Divulgação do Ataque
 Obtenção de Acesso
68) Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi
projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser
melhor descrito como sendo um:
 cavalo de tróia (trojan horse)
 exploit
 active-x
 worm
 vírus
69) Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as
organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o
perfeito dimensionamento das demais fases de elaboração do plano de continuidade?
 Análise de impacto dos negócios (BIA)
 Análise de risco
 Classificação da informação
 Auditoria interna
 Análise de vulnerabilidade
70) Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware?
 Monitoramento de URLs acessadas enquanto o usuário navega na Internet
 Captura de senhas bancárias e números de cartões de crédito;
 Alteração ou destruição de arquivos;
 Captura de outras senhas usadas em sites de comércio eletrônico;
 Alteração da página inicial apresentada no browser do usuário;
71) Qual das opções abaixo apresenta a Norma que orienta as organizações na estruturação e implementação da
continuidade de negócio?
 NBR ISO/IEC 16199:1
 NBR ISO/IEC 16999:1
 NBR ISO/IEC 15999:1
 NBR ISO/IEC 15991:1
 NBR ISO/IEC 15199:1
72) Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000?
 ISO/IEC 27001
 ISO/IEC 27003
 ISO/IEC 27005
 ISO/IEC 27002
 ISO/IEC 27004
73) Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são
detalhadas no plano operacional, as configurações de um determinado produto ou funcionalidade que devem ser
feitas para implementar os controles e tecnologias estabelecidas pela norma.
 Diretrizes.
 Normas.
 Manuais.
 Procedimentos.
 Relatório Estratégico.
74) Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são
especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para
alcançar a estratégia definida nas diretrizes?
 Diretrizes.
 Manuais.
 Procedimentos.
 Normas.
 Relatório Estratégico.
75) Qual das opções abaixo completa a sentença: ¿Quanto maior a probabilidade de uma determinada ameaça
ocorrer e o impacto que ela trará, maior será _________.¿
 A Vulnerabilidade do Ativo.
 A Vulnerabilidade do Risco.
 O valor do Impacto.
 O risco associado a este incidente.
 O risco associado a ameaça.
76) Qual das opções abaixo consiste em enviar para um programa que espera por uma entrada de dados qualquer
informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados?
 SQL Injection
 Buffer Overflow
 Fragmentação de Pacotes IP
 Smurf
 Fraggle
77) Qual das opções abaixo descreve melhor conceito de “Ameaça” quando relacionado com a Segurança da
Informação:
 Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos
 Tudo aquilo que tem origem para causar algum tipo de erro nos ativos
 Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes.
 Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos
 Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos
78) Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da
Informação:
 Probabilidade de uma ameaça explorar um incidente.
 Probabilidade de um ativo explorar uma ameaça.
 Probabilidade de uma ameaça explorar uma vulnerabilidade
 Probabilidade de um ativo explorar uma vulnerabilidade.
 Probabilidade de um incidente ocorrer mais vezes.
79) Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço
específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em
cada computador?
 Ataque de Configuração mal feita.
 Ataque para Obtenção de Informações.
 Ataque á Aplicação.
 Ataque aos Sistemas Operacionais.
 Ataques de códigos pré-fabricados.
80) Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas
servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao
invés da invasão?
 DDos
 Phishing Scan
 Source Routing
 Shrink wrap code
 SQL Injection
81) Qual das opções abaixo não apresenta uma das quatro categorias conhecidas de Ataques?
 Aceitação de Serviço
 Disfarce
 Modificação de mensagem
 Negação de Serviço
 Repetição
82) Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no
estudo e implementação de um processo de gestão de segurança em uma organização?
 Insegurança.
 Impacto.
 Vulnerabilidade.
 Ameaça.
 Risco.
83) Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus
componentes?
 Redes Não Confiáveis - Não possuem políticas de segurança.
 Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de proteção
 Redes Não Confiáveis - Não é possível informar se necessitam de proteção.
 Redes Não Confiáveis - Não possuem controle da administração.
 Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou não confiável.
84) Qual das opções abaixo não representa uma das etapas da Gestão de Risco:
  Identificar e avaliar os riscos.
 Selecionar, implementar e operar controles para tratar os riscos.
 Manter e melhorar os controles
 Verificar e analisar criticamente os riscos.
 Manter e melhorar os riscos identificados nos ativos
85) Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são
utilizados termos com menções mais subjetivas, tais como alto, médio e baixo:
 Método Exploratório
 Método Subjetivo.
 Método Classificatório.
 Método Quantitativo
 Método Qualitativo
86) Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são
utilizados termos numéricos para os componentes associados ao risco.
 Método Classificatório.
 Método Exploratório.
 Método Qualitativo.
 Método Numérico.
 Método Quantitativo.
87) Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código malicioso ou Malware?
 worm
 trojan horse
 active-x
 keyloggers
 rootkit
88) Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da
rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e a
internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados.
 Spyware.
 Antivírus.
 Adware.
 Mailing.
 Firewall.
89) Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são
realizados para um ataque de segurança?
 O atacante tenta manter seu próprio domínio sobre o sistema
 O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema.
 O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação".
 O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento
 O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência.
90) Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso?
 Fraco
 Ativo
 Passivo
 Forte
 Secreto
91) Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões?
 Passivo
 Ativo
 Fraco
 Secreto
 Forte
92) Quando uma informação é classificada como aquela que é interna, restrita a um grupo seleto dentro da
organização. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro, sendo
vital para a companhia podemos então afirmar que ela possui qual nível de segurança?
 Secreta.
 Interna.
 Pública.
  Proibida.
 Confidencial.
93) Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas
de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas
e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente
dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de
definir a fase de "Levantamento das informações" nesta receita:
 Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as
vulnerabilidades encontradas no sistema.
 Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de
outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou
trojans.
 Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o
objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos
computacionais.
 Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento.
 É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o
¿alvo em avaliação¿ antes do lançamento do ataque.
94) Se um invasor mal intencionado desejasse utilizar de uma ferramenta para mapear potenciais vulnerabilidades
em computadores, assegurar o acesso futuro a estes computadores e remover as evidências de suas ações, qual
ferramenta (malware) ele utilizaria como sendo a mais eficaz dentre as apresentadas nas opções abaixo?
 Bot
 Rootkit
 Spyware
 Worm
 Adware
95) Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral.
Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta
um conjunto típico destes documentos?
 Manuais; Normas e Procedimentos
 Diretrizes; Manuais e Procedimentos
 Diretrizes; Normas e Procedimentos
 Manuais; Normas e Relatórios
 Diretrizes; Normas e Relatórios
96) Segundo a RFC 2828 os ataques podem ser definidos como “um ataque à segurança do sistema, derivado de
uma ameaça inteligente, ou seja, um ato inteligente que é uma tentativa deliberada de burlar os serviços de
segurança e violar a política de segurança de um sistema”. Os ataques ser classificados como:
 Forte e Fraco
 Passivo e Ativo
 Secreto e Vulnerável
 Passivo e Vulnerável
 Secreto e Ativo
97) Segundo os conceitos da Segurança da Informação podemos classificar as medidas de proteção de acordo com
a sua ação e o momento em que ocorre. Baseado nesta premissa, podemos afirmar que a medida de proteção
classificada como “Limitação” possui a finalidade de:
 Reparar falhas existentes.
 Diminuir danos causados.
 Reagir a Determinados incidentes.
 Evitar que acidentes ocorram.
 Desencorajar a prática de ações.
98) Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de
situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção
possíveis de serem aplicadas às organizações?
 Administrativa, Física e Lógica.
 Administrativa, Contábil e Física.
 Lógica, Administrativa e Contábil.
 Lógica, Física e Programada.
 Administrativa, Física e Programada.
99) Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de
¿Ativo de Informação¿?
 São aqueles que constroem, dão acesso, transmitem ou armazenam informações.
 São aqueles que produzem, processam, transmitem ou armazenam informações.
 São aqueles que organizam, processam, publicam ou destroem informações.
 São aqueles que produzem, processam, reúnem ou expõem informações.
 São aqueles tratam, administram, isolam ou armazenam informações
100) Suponha que um hacker esteja planejando um ataque a uma empresa. Qual o tipo de ataque ele irá utilizar
para realizar o levantamento das informações em relação à empresa ou rede a ser atacada?
 O ataque do tipo ativo, pois tem como objetivo de bisbilhotar ou monitora transmissões.
 O ataque do tipo passivo, pois tem como objetivo de bisbilhotar ou monitora transmissões.
 Ataque do tipo passivo, pois tem como objetivo modificar o fluxo de dados ou a criar um fluxo falso.
 O ataque do tipo ativo, pois tem como objetivo modificar o fluxo de dados ou a criar um fluxo falso.
 O ataque do tipo direto, pois além de monitorar as transmissões ainda modifica o fluxo das informações.
101) Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma
como a tecnologia da informação apoia as operações e processos das empresas, qual das opções abaixo poderá
ser escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo?
 O uso da internet para sites de relacionamento;
 O crescimento explosivo dos cursos relacionados com a tecnologia da informação;
 O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações;
 O Aumento no consumo de softwares licenciados;
 O crescimento explosivo da venda de computadores e sistemas livres;
102) Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que
cada informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos sem
causar danos à organização, podemos afirmar que ela possui qual nível de segurança?
 Secreta.
 Interna.
 As opções (a) e (c) estão corretas.
 Confidencial.
 Irrestrito.
103) Um Firewall pode ser definido como uma coleção de componentes, colocada entre duas redes, que
coletivamente possua propriedades que:
 garantem que todo o tráfego de dentro para fora da rede, e vice-versa, passe por ele. Somente o tráfego
autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de
violação.
 garantem que todo o tráfego de dentro para fora da rede e vice-versa deve ser bloqueado,
independentemente da política de segurança adotada. Todo firewall deve ser à prova de violação.
 independentemente da política de segurança adotada, tem como objetivo principal impedir a entrada de vírus
em um computador, via arquivos anexados a e-mails.
 garantem que apenas o tráfego de dentro para fora da rede deve passar por ele. Somente o tráfego
autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de
violação.
 garantem que apenas o tráfego de fora para dentro da rede deve passar por ele. Somente o tráfego
autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de
violação.
104) Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um
ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de
dados de cadastro do cliente. Neste caso, foi utilizado um ataque de:
 Fragmentação de Pacotes IP
 SQL Injection
 Fraggle
 Smurf
 Buffer Overflow
105) Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira
corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma
combinação de ambas. Neste sentido podemos definir a barreira "Detectar":
 Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os
gestores da segurança na detecção de situações de risco.
  Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos,
definindo perfis e autorizando permissões.
 Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da
informação.
 Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças.
 Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio.
106) Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será
necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu
objetivo o invasor tentará levantar estas informações através da escuta das portas do protocolo TCP e UDP.
Neste caso estamos nos referindo a um ataque do tipo:
 Three-way-handshake
 Fragmentação de Pacotes IP
 Fraggle
 Port Scanning
 SYN Flooding
107) Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando,
isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador
pode ser descrito como sendo um:
 keylogger
 backdoor
 exploit
 spyware
 vírus
108) Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser,
seja através de algum outro programa instalado em um computador pode ser descrito como sendo um:
 Adware
 Active-x
 Worm
 Spyware
 Java Script
109) Você está trabalhando em um projeto de classificação de informação e sua empresa trabalha no ramo
financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua
empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você
classificaria estas informações em qual nível de segurança?
 Confidencial.
 Pública.
 Interna.
 Irrestrito.
 Secreta.
110) Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização.
Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as
ações que você deve realizar:
 Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e serviços
desnecessários para a organização.
 Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços
fundamentais para a organização.
 Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e serviços
desnecessários para a organização.
 Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de produtos
e serviços fundamentais para a organização.
 Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e serviços
fundamentais para a organização.
111) Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização.
Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a
opção que melhor retrata a estratégia a ser definida:
 A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus
efeitos.
  A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus
efeitos.
 A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus
efeitos.
 A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência
de incidentes e seus efeitos.
 A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de
incidentes e seus efeitos.
112) Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um
servidor de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de rede
você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança?
 na Zona Desmilitarizada (DMZ) suja
 em uma subrede externa protegida por um proxy
 ligado diretamente no roteador de borda
 na rede interna da organização
 na Zona Desmilitarizada (DMZ) protegida
113) Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um
servidor Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes.
Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de
segurança?
 na Zona Desmilitarizada (DMZ) protegida
 na Zona Desmilitarizada (DMZ) suja
 na rede interna da organização
 ligado diretamente no roteador de borda
 em uma subrede interna protegida por um proxy
114) Você está trabalhando em um projeto de segurança e necessita identificar os principais tipos de ameaças
que podem comprometer a segurança da informação na sua empresa. Foram detectados em algumas máquinas
programas que permitem o retorno de um invasor a um computador comprometido utilizando serviços criados ou
modificados para este fim e sem precisar recorrer aos métodos utilizados na invasão. Neste caso podemos
classificar esta ameaça como sendo um:
 Backdoor
 Bots
 Virus
 Spyware
 Worm
115) Você precisa elaborar um relatório com o resultado da análise de vulnerabilidades que foi realizada na sua
empresa. Você percebeu que no levantamento das vulnerabilidades do ambiente de TI foram encontradas
inconsistências. Qual das opções abaixo não pode ser considerada como um exemplo de um tipo de
vulnerabilidade que pode ser encontrada num ambiente de TI?
 Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos.
 Falha na transmissão de um arquivo por uma eventual queda de energia.
 Falhas nas implementações de segurança nos compartilhamentos de rede e arquivos.
 Falhas nos softwares dos equipamentos de comunicações.
 Fraqueza de segurança/falhas nos scripts que executam nos servidores web.
116) Você trabalha na área de administração de rede e para aumentar as medidas de segurança já
implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os
hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar:
 Um filtro de pacotes
 Um firewall com estado
 Um servidor proxy
 Um roteador de borda
 Um detector de intrusão
117) Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de
infraestrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de
alarmes. Neste caso que tipo de barreira você está implementando?
 Deter
 Detectar
 Dificultar
  Desencorajar
 Discriminar
118) Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as
medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada.
Neste caso estamos nos referindo a que tipo de risco:
 Risco verdadeiro;
 Risco residual;
 Risco tratado;
 Risco percebido;
 Risco real;
119) Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque
DDoS e foi descrito como o maior já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕES de
blogs, incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre eles,
estão inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcançou vários Gigabits por
segundo e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do
Wordpress, a investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog.
Qual você acha que foi a vulnerabilidade para este ataque?
 Vulnerabilidade Natural
 Vulnerabilidade Mídias
 Vulnerabilidade Física
 Vulnerabilidade Comunicação
 Vulnerabilidade Software
120) A preservação da confidencialidade, integridade e disponibilidade da informação utilizada nos sistemas de
informação requer medidas de segurança, que por vezes são também utilizadas como forma de garantir a
autenticidade e o não repúdio. As medidas de segurança podem ser classificadas, em função da maneira como
abordam as ameaças, em duas grandes categorias. Quais são elas e como são definidas?
A prevenção: é o conjunto das medidas que visam reduzir a probabilidade de concretização das ameaças
existentes. O efeito destas medidas extingue-se quando uma ameaça se transforma num incidente. A proteção: é
o conjunto das medidas que visão dotar os sistemas de informação com capacidade de inspeção, detecção,
reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. Naturalmente,
estas medidas só atuam quando ocorre um incidente.
121) Cada empresa ao tratar a segurança da informação e independentemente de sua área de negócio e dos
objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios fundamentais da segurança
da informação. Fale sobre cada um dos três princípios.
Disponibilidade: Garantia de que só usuários autorizados obtêm acesso à informação e aos ativos
correspondentes sempre que necessário. Integridade: Salvaguardar a exatidão e completeza da informação e
dos métodos de processamento. Confidencialidade: Garantia de que os usuários autorizados obtém acesso à
informação e aos ativos correspondentes sempre que necessários
122) Dado o caráter abstrato e intangível da informação, seu valor está associado a um contexto. A informação
terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva,
caso contrário poderá ter pouco ou nenhum valor. Neste sentido descreva o ciclo de vida da informação,
identificando os momentos vividos pela informação.
Manuseio: Momento em que a informação é criada e manipulada. Armazenamento: Momento em que a
informação é armazenada. Transporte: Momento em que a informação é transportada. Descarte: Momento em
que a informação é descartada.
123) Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo Fraggle e do tipo
Smurf.
Um ataque do tipo Fraggle consitem no envio de um excessivo número de pacotes PING para o domínio de
broadcast da rede, tendo como endereço IP de origem, a vítima desejada. Dessa forma todos os hosts do
domínio de broadcast irão responder para o endereço IP da vítima, que foi mascarado pelo atacante, ficando
desabilitada de suas funções normais. Já um ataque do tipo smurf é idêntico ao atque Fraggle, alterando apenas
o fato que utiliza-se de pacotes do protocolo UDP.
124) Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um
ataque de Buffer Overflow?
Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que interagem com
bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma
série de instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma
 aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que espera por uma entrada de
dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados.
125) Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança é um
aspecto importante na identificação de medidas adequadas de segurança. Qual a diferença entre análise de
vulnerabilidade, teste de vulnerabilidade e pesquisa de vulnerabilidade?
Análise vulnerabilidade: Verificar a existência de falhas de segurança no ambiente de TI das empresas. Teste de
vulnerabilidade: Determinação de que falhas de segurança podem ser aplicadas à máquina ou rede alvo.
Pesquisa de vulnerabilidade: Significa descobrir as falhas e deficiência em um produto ou aplicação que podem
comprometer a segurança.
126) No âmbito da segurança da Informação, uma das etapas de implementação é a classificação da Informação.
Em que consiste o processo de classificação da Informação?
O processo de classificação da informação consiste em identificar quais são os níveis de proteção que as
informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de
proteção a cada uma delas.
127) No contexto da segurança da informação, defina os conceitos de Ativo, Vulnerabilidade e Ameaça.
Ativo: qualquer coisa que tenha valor para a organização. Vulnerabilidade: A ausência de um mecanismo de
proteção ou falhas em um mecanismo de proteção existente. Ameaça: Evento que tem potencial em si próprio
para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes
de situações inesperadas.
128) Um Analista de segurança deverá ter familiaridade com as ferramentas, técnicas, estratégias e metodologias
de ataques conhecidos para que possa desta forma contribuir com a definição correta de quais contramedidas
deverão ser adotadas pela organização. Descreva os cinco passos utilizados pelos atacantes para realizar um
ataque:
1 - Levantamento das informações: fase de reconhecimento é uma fase preparatória onde o atacante procura
coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque.
Podem ser: ativo e passivo. 2 - Exploração das informações (scanning): Fase onde o atacante explora a rede
baseado nas informações obtidas na fase de reconhecimento. Pode ser considerado uma fase de pré-ataque
envolve a utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan, scanner de
vulnerabilidade e network mapping. 3 -Obtenção do acesso: Esta fase consiste na penetração do sistema
propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer
através da internet, da rede local, fraude ou roubo. Nesta fase o atacante poderá obter acesso a nível de: sistema
operacional, aplicação e rede. 4 - Manutenção do acesso: Nesta fase o atacante tenta manter seu próprio
domínio sobre o sistema. Poderá também protêge-lo de outros atacantes através da utilização de ¿acessos
exclusivos¿ obtidos através de rootkits, backdoors ou trojans. 5 ¿Camuflagem das evidências: Consiste na
atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua
permanência na máquina hospedeira, na utilização indevida dos recursos computacionais
129)