Prévia do material em texto

<p>Exercícios de Introdução à Segurança da Informação</p><p>1) A segurança da informação refere-se à prática de prevenir o acesso não autorizado, uso,</p><p>divulgação, interrupção, modificação, inspeção, gravação ou destruição de informações. Qual</p><p>problema de segurança é destacado nos exemplos de laptops levados para manutenção e</p><p>discos rígidos de segunda mão comprados na Internet, como por exemplo, no eBay?</p><p>a) Falha na integridade dos dados.</p><p>b) Problemas na disponibilidade da informação.</p><p>c) Falhas na confidencialidade dos dados.</p><p>d) Ausência de autenticidade dos dados.</p><p>e) Violações de não repúdio.</p><p>Gabarito Comentado => Os exemplos citados destacam situações em que informações</p><p>sensíveis foram potencialmente expostas a partes não autorizadas, indicando uma falha na</p><p>confidencialidade dos dados. Esses casos mostram como os dados podem ser comprometidos</p><p>se não forem adequadamente protegidos em todas as fases do seu ciclo de vida.</p><p>2) A segurança dos servidores é uma parte crucial da segurança cibernética, especialmente</p><p>porque os servidores frequentemente armazenam grandes quantidades de dados valiosos e</p><p>são um alvo atraente para os cibercriminosos. Em relação à segurança física em um ambiente</p><p>empresarial, qual das seguintes opções é um exemplo de controle que pode ser usado na</p><p>primeira camada de segurança, ao se aproximar de uma instalação?</p><p>a) Firewalls.</p><p>b) Criptografia.</p><p>c) Catracas e elevadores.</p><p>d) Cancelas com seguranças verificando identificações.</p><p>e) Sistemas de detecção de intrusão.</p><p>Gabarito Comentado => "Cancelas com seguranças verificando identificações", é um exemplo</p><p>de controle de segurança física que pode ser encontrado na primeira camada de segurança de</p><p>uma instalação, conforme descrito no cenário de uma empresa com várias camadas de</p><p>segurança justapostas.</p><p>3) Na questão que avalia conhecimento de informática, a menos que seja explicitamente</p><p>informado o contrário, considere que: todos os programas mencionados estejam em</p><p>configuração-padrão, em português; o mouse esteja configurado para pessoas destras:</p><p>expressões como clicar, clique simples e clique duplo refiram-se a cliques com o botão</p><p>esquerdo do mouse; e teclar corresponda à operação de pressionar uma tecla e,</p><p>rapidamente, liberá-la, acionando-a apenas uma vez. Considere também que não haja</p><p>restrições de proteção, de funcionamento e de uso em relação aos programas, arquivos,</p><p>diretórios, recursos e equipamentos mencionados. Assinale a alternativa que apresenta</p><p>procedimento de segurança da informação que pode ser adotado pelas organizações.</p><p>a) Realizar, periodicamente, análise de riscos, com o objetivo de contemplar as mudanças</p><p>nos requisitos de segurança da informação.</p><p>b) Não envolver a direção com a segurança da informação, tendo em vista que ela já possui</p><p>diversas outras atribuições</p><p>c) Descartar o inventário dos ativos, caso a organização possua</p><p>d) Direcionar os funcionários apenas para o exercício de suas funções diárias; pois</p><p>treinamentos em segurança da informação ou outros eventos relacionados devem ser evitados</p><p>e) Conceder aos funcionários o acesso completo aos sistemas e à rede (intranet) da</p><p>organização</p><p>Gabarito Comentado => A alternativa correta é a opção A, que sugere a realização periódica de</p><p>análises de riscos com o objetivo de contemplar as mudanças nos requisitos de segurança da</p><p>informação. Este é um procedimento de segurança da informação fundamental para as</p><p>organizações, pois permite identificar e avaliar possíveis ameaças e vulnerabilidades, além de</p><p>auxiliar na tomada de decisões para a implementação de medidas de proteção adequadas. As</p><p>demais alternativas apresentam práticas que não são recomendadas na gestão de segurança</p><p>da informação.</p><p>4) Em relação à segurança da informação e aos controles de acesso físico e lógico, considere:</p><p>l. Se um usuário não mais faz parte da lista de um grupo de acesso aos recursos de</p><p>processamento da informação, é certo que o grupo seja extinto com a criação de um novo,</p><p>contendo os usuários remanescentes. II. Direitos de acesso (físicas e lógicos) que não foram</p><p>aprovados para um novo trabalho devem ser retirados ou adaptados, incluindo chaves e</p><p>qualquer tipo de identificação que associe a pessoa ao novo projeto. III. O acesso às áreas em</p><p>que são processadas ou armazenadas informações sensíveis deve ser controlado e restrito às</p><p>pessoas autorizadas, preferencialmente por controles de autenticação, por exemplo, cartão</p><p>de controle de acesso mais PIN (personal identification number). Está correto o que se</p><p>afirma em:</p><p>a) I e II, apenas.</p><p>b) I, II e III.</p><p>c) I e III, apenas.</p><p>d) II e III, apenas.</p><p>e) III, apenas.</p><p>Gabarito Comentado => Do ponto de vista de gerenciamento, não faz sentido excluir todos os</p><p>usuários (o grupo) apenas para revogar o acesso de um único usuário que não tenha mais</p><p>permissão. Portanto, a afirmação I está incorreta. As afirmações II e III estão corretas, pois são</p><p>práticas comuns em segurança da informação. Direitos de acesso que não são mais necessários</p><p>devem ser retirados ou adaptados (afirmação II) e o acesso a áreas sensíveis deve ser</p><p>controlado e restrito a pessoas autorizadas (afirmação III).</p><p>5) As regras de firewall são componentes essenciais na segurança de redes e sistemas,</p><p>atuando como um filtro entre uma rede interna segura e redes externas potencialmente</p><p>inseguras, como a Internet. Qual das seguintes políticas é mais comumente recomendada no</p><p>mercado quando se trata de regras de firewalls?</p><p>a) Aceitar todos por padrão, negar alguns.</p><p>b) Negar por padrão, autorizar explicitamente.</p><p>c) Aceitar por padrão, restringir alguns.</p><p>d) Autorizar todos por padrão, restringir alguns.</p><p>e) Negar todos por padrão, sem exceções.</p><p>Gabarito Comentado => "Negar por padrão, autorizar explicitamente", é a política de firewall</p><p>mais recomendada, pois maximiza a segurança ao negar todo o tráfego por padrão e permitir</p><p>apenas tráfegos específicos conforme necessário, reduzindo assim a exposição a ameaças.</p><p>6) A segurança da informação refere-se à proteção de dados e informações contra acesso não</p><p>autorizado, uso, divulgação, interrupção, modificação, inspeção, gravação ou destruição. E</p><p>uma disciplina que envolve vários métodos, políticas, e tecnologias para assegurar a</p><p>confidencialidade, integridade, e disponibilidade de dados. Qual dos seguintes aspectos da</p><p>segurança da informação se refere especificamente à garantia de que a informação foi criada</p><p>ou gerada por uma fonte autorizada?</p><p>a) Integridade.</p><p>b) Disponibilidade.</p><p>c) Confidencialidade.</p><p>d) Autenticidade.</p><p>e) Não repúdio.</p><p>Gabarito Comentado => A autenticidade, conforme descrito no texto, assegura que a</p><p>informação foi gerada por uma pessoa ou sistema que possui autorização para fazê-lo,</p><p>garantindo a origem legítima da informação.</p><p>7) A informação é estruturação e organização dos dados. Assim, os dados constituem a</p><p>matéria prima da informação. Dentro dos aspectos da segurança da informação que exigem</p><p>atenção são: confidencialidade, integridade e disponibilidade. A respeito da:</p><p>I - Na confidencialidade, as informações serão acessadas por quem tiver a devida</p><p>autorização.</p><p>II - Na integridade, a informação que chega ao receptor pode não ser a que foi enviada pelo</p><p>emissor.</p><p>III - Disponibilidade, as informações podem ser acessadas por sistemas autorizados para tal</p><p>fim.</p><p>Podemos considerar como corretas:</p><p>a) I e II.</p><p>b) I apenas.</p><p>c) III apenas.</p><p>d) II e III.</p><p>e) I, II, III.</p><p>Gabarito Comentado => As afirmações I e III estão corretas. A confidencialidade se refere ao</p><p>fato de que as informações só devem ser acessadas por quem possui a devida autorização,</p><p>garantindo que dados sensíveis não sejam expostos a pessoas não autorizadas. Já a</p><p>disponibilidade se refere à garantia de que as informações estejam sempre acessíveis para os</p><p>sistemas autorizados, garantindo que os usuários possam acessar os dados quando necessário.</p><p>No entanto, a afirmação II está incorreta. Na integridade, a informação que chega ao receptor</p><p>deve</p><p>ser exatamente a mesma que foi enviada pelo emissor, garantindo que os dados não</p><p>sejam alterados ou corrompidos durante o processo de transmissão.</p><p>8) Redes de computadores conectadas à internet são alvos de invasões por parte de hackers.</p><p>A ferramenta para permitir o acesso à rede apenas por endereços autorizados é:</p><p>a) Criptografia.</p><p>b) Firewall.</p><p>c) Certificado digital.</p><p>d) Antivírus.</p><p>e) Modem.</p><p>Gabarito Comentado => O Firewall é a ferramenta correta para permitir o acesso à rede apenas</p><p>por endereços autorizados. Ele funciona como uma barreira de proteção, que controla o</p><p>tráfego de dados entre seu computador e a internet (ou a rede local) e pode ser usado para</p><p>bloquear dados indesejados de entrarem em seu sistema. As outras opções, como criptografia,</p><p>certificado digital, antivírus e modem, têm funções diferentes na segurança da informação e</p><p>não são especificamente projetadas para permitir o acesso à rede apenas por endereços</p><p>autorizados.</p><p>9) O crescimento das redes abertas fez com que surgissem vários problemas de segurança,</p><p>que vão desde o roubo de senhas e interrupção de serviços até problemas de personificação,</p><p>em que uma pessoa faz-se passar por outra para obter acesso privilegiado. Com isso, surgiu a</p><p>necessidade de verificação da identidade tanto dos usuários quanto dos sistemas e</p><p>processos. Dentro desse contexto, esse ato de verificação é chamado:</p><p>a) Configuração.</p><p>b) Acessibilidade.</p><p>c) Autenticação.</p><p>d) Confiabilidade.</p><p>e) Cadastro.</p><p>Gabarito Comentado => O ato de verificação da identidade de usuários, sistemas e processos,</p><p>no contexto de segurança de redes, é chamado de autenticação. A autenticação é um processo</p><p>que confirma ou verifica uma alegação de identidade. Isso é essencial para garantir que os</p><p>usuários sejam quem afirmam ser antes de conceder acesso a recursos ou informações</p><p>sensíveis. Portanto, a alternativa correta é a C, que se refere à</p><p>10) Sobre os conceitos de segurança da informação, analise as afirmativas a seguir:</p><p>I. Uma ameaça tem o poder de comprometer ativos vulneráveis.</p><p>II. Risco é a combinação das consequências de um incidente de segurança com a sua</p><p>probabilidade de ocorrência.</p><p>III. Vulnerabilidades técnicas são mais críticas do que vulnerabilidades criadas por</p><p>comportamento humano.</p><p>Está correto somente o que se afirma em:</p><p>a) I.</p><p>b) II.</p><p>c) III.</p><p>d) I e II.</p><p>e) I e III.</p><p>Gabarito Comentado => As afirmativas I e II estão corretas. A primeira afirmação é verdadeira</p><p>porque uma ameaça, de fato, tem o poder de comprometer ativos que são vulneráveis. A</p><p>segunda afirmação também é verdadeira, pois o risco é a combinação das consequências de</p><p>um incidente de segurança com a sua probabilidade de ocorrência. No entanto, a terceira</p><p>afirmação é falsa, pois não se pode afirmar categoricamente que vulnerabilidades técnicas são</p><p>mais críticas do que as vulnerabilidades criadas por comportamento humano. Ambas podem</p><p>ter impactos significativos na segurança da informação e dependem do contexto específico.</p><p>11) (FEPESE/2017) Identifique abaixo as afirmativas verdadeiras (V) e as falsas (F) sobre</p><p>Negação de Serviço (Dos e DDoS):</p><p>( ) Negação de serviço, ou DOS (Denial of Service) é uma técnica pela qual um atacante utiliza</p><p>um computador para tirar de operação um serviço, um computador ou uma rede conectada</p><p>à Internet.</p><p>( ) Quando utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de</p><p>computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou</p><p>DDoS (Distributed Denial of Service).</p><p>( ) O principal objetivo dos ataques de Negação de Serviço (DOS e DDoS) é invadir e coletar</p><p>informações do alvo.</p><p>( ) Uma pessoa pode voluntariamente usar ferramentas e fazer com que seu computador seja</p><p>utilizado em ataques. A grande maioria dos computadores, porém, participa dos ataques</p><p>sem o conhecimento de seu dono, por estar infectado e fazendo parte de botnets.</p><p>Assinale a alternativa que indica a sequência correta, de cima para baixo.</p><p>a) V V F V</p><p>b) V F F V</p><p>c) V F F F</p><p>d) F V V F</p><p>e) F F V F</p><p>Gabarito Comentado => Podemos assumir que o principal objetivo dos ataques de Negação de</p><p>Serviço (DOS e DDoS) é paralisar as operações do alvo.</p><p>12) É um tipo de malware feito para extorquir dinheiro de sua vítima. Esse tipo de</p><p>ciberataque irá criptografar os arquivos do usuário e exigir um pagamento para que seja</p><p>enviada a solução de descriptografia dos dados da vítima. O scareware é seu tipo mais</p><p>comum e usa táticas ameaçadoras ou intimidadoras para induzir as vítimas a pagar. O texto</p><p>se refere ao:</p><p>a) Spyware.</p><p>b) Botnet.</p><p>c) Spam.</p><p>d) DDoS.</p><p>e) Ransomware.</p><p>Gabarito Comentado => O enunciado descreve um tipo de malware que criptografa os arquivos</p><p>do usuário e exige um pagamento para descriptografá-los. Este é o comportamento</p><p>característico do Ransomware. O Ransomware é um tipo de software malicioso que restringe o</p><p>acesso ao sistema infectado e cobra um resgate para que o acesso possa ser restabelecido.</p><p>Portanto, a alternativa correta é o Ransomware.</p><p>13) (FCC/2012 - Adaptada) Códigos maliciosos (malwares) são programas que objetivam</p><p>executar ações danosas e atividades maliciosas em um computador. Neste contexto</p><p>encontram-se bots e botnets, sobre os quais é correto afirmar:</p><p>a) Botnet é um software malicioso de monitoramento de rede que tem a função de furtar</p><p>dados que transitam pela rede e, normalmente, tornar a rede indisponível disparando uma</p><p>grande carga de dados direcionados ao servidor da rede.</p><p>b) Bot é um programa que dispõe de mecanismos de comunicação com o invasor e possui um</p><p>processo de infecção e propagação igual ao do vírus, ou seja, não é capaz de se propagar</p><p>automaticamente.</p><p>c) Um computador infectado por um bot costuma ser chamado de attack base, pois serve de</p><p>base para o atacante estabelecer suas ações maliciosas. Também pode ser chamado de spam</p><p>host, pois o bot instalado tem o objetivo de enviar infinitamente spams para a caixa de e-mail</p><p>de quem é vítima do ataque.</p><p>d) A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer</p><p>exclusivamente via redes do tipo P2P. Ao se comunicar, o invasor pode enviar instruções para</p><p>que ações maliciosas sejam executadas, como desferir ataques, furtar dados do computador</p><p>infectado e enviar spam.</p><p>e) Algumas das ações maliciosas que costumam ser executadas por intermédio de botnets</p><p>são: e ataques de negação de serviço, propagação de códigos maliciosos, coleta de</p><p>informações de um grande número de computadores, envio de spam e camuflagem da</p><p>identidade do atacante.</p><p>Gabarito Comentado => Botnets, também conhecido como rede zumbi, é um conjunto de</p><p>equipamentos que sofreu um ataque, resultando no controle do equipamento pelo hacker.</p><p>Através de botnets é possível fazer ataques de negação de serviço, envios de e-mails em massa</p><p>e vários outros.</p><p>14) Indique a alternativa que pode conter um relacionamento mais apropriado entre os</p><p>conceitos de AMEAÇA, IMPACTO, INCIDENTE e VULNERABILIDADE tratados pela Gestão de</p><p>Riscos na Tecnologia da Informação.</p><p>a)</p><p>ATIVO VULNERABILIDADE INCIDENTE/AMEAÇA IMPACTO</p><p>Servidor de</p><p>aplicação</p><p>Falta de atualizações do</p><p>sistema operacional</p><p>Exploração de</p><p>vulnerabilidades</p><p>conhecidas.</p><p>Perda da confiabilidade,</p><p>Integridade e</p><p>Disponibilidade</p><p>b)</p><p>ATIVO VULNERABILIDADE INCIDENTE/AMEAÇA IMPACTO</p><p>Servidor Web Servidor de aplicação</p><p>acessível pela internet</p><p>Ataque Hacker DDoS Integridade</p><p>c)</p><p>ATIVO VULNERABILIDADE INCIDENTE/AMEAÇA IMPACTO</p><p>Firewall da rede Sem contrato de</p><p>manutenção periódica</p><p>Defeito no firmware Perda da confiabilidade</p><p>nos acessos a internet</p><p>d)</p><p>ATIVO VULNERABILIDADE INCIDENTE/AMEAÇA IMPACTO</p><p>Servidor Web Ataque Hacker DDoS Falta de atualizações do</p><p>sistema operacional</p><p>Indisponibilidade</p><p>e)</p><p>ATIVO VULNERABILIDADE INCIDENTE/AMEAÇA IMPACTO</p><p>Firewall da rede Falta de</p><p>atualização do IOS</p><p>Perda de desempenho Não suporta atualizações</p><p>de hardware</p><p>Gabarito Comentado => A resposta correta é:</p><p>ATIVO</p><p>VULNERABILIDADE INCIDENTE/AMEAÇA IMPACTO</p><p>Servidor de</p><p>aplicação</p><p>Falta de atualizações do</p><p>sistema operacional</p><p>Exploração de</p><p>vulnerabilidades</p><p>conhecidas.</p><p>Perda da confiabilidade,</p><p>Integridade e</p><p>Disponibilidade</p><p>15) Considere que uma equipe esteja trabalhando num software web com severas restrições</p><p>de segurança. Além dos desenvolvedores e analistas, essa equipe conta com profissionais</p><p>especialistas em segurança que têm, entre outras atribuições, a responsabilidade de realizar</p><p>a revisão dos códigos a fim de evitar vulnerabilidades. Se durante a etapa de</p><p>desenvolvimento um revisor da equipe de segurança detectar uma vulnerabilidade, é sua</p><p>responsabilidade:</p><p>a) Corrigir a vulnerabilidade, contatando os desenvolvedores que programaram o trecho de</p><p>código vulnerável.</p><p>b) Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja</p><p>resolvido.</p><p>c) Separar a vulnerabilidade, tratando o código com erro como mais um problema que requer</p><p>correção.</p><p>d) Isolar o problema e solicitar que a equipe de desenvolvimento corrija a vulnerabilidade</p><p>imediatamente.</p><p>e) Corrigir o problema e relatar a vulnerabilidade à equipe de segurança.</p><p>Gabarito Comentado => Na situação apresentada, a responsabilidade do revisor de segurança</p><p>ao detectar uma vulnerabilidade é separá-la e alertar a equipe de segurança para que o</p><p>problema seja resolvido. Isso ocorre porque o revisor de segurança não necessariamente tem a</p><p>habilidade ou autoridade para corrigir a vulnerabilidade, mas sim para identificá-la e reportá-la</p><p>à equipe responsável pela segurança do software. Portanto, a alternativa correta é: "Separar a</p><p>vulnerabilidade e alertar a equipe de segurança para que o problema seja resolvido".</p><p>16) (UFES/2014) O termo "Engenharia Social" é comumente utilizado para se referir a</p><p>técnicas utilizadas por pessoas mal-intencionadas que abusam de relações sociais para</p><p>conseguir informações sigilosas ou acesso a sistemas. Dos cenários abaixo, NÃO caracteriza</p><p>um caso de Engenharia Social o que está descrito em:</p><p>a) Em um ambiente de trabalho, uma pessoa liga, identifica-se como administrador dos</p><p>sistemas da empresa e solicita que você siga uma série de passos, incluindo acesso a sites na</p><p>internet e instalação de softwares, para melhorar o desempenho da sua máquina.</p><p>b) Você recebe um e-mail indicando que acaba de ser sorteado com um prémio e instruindo-o</p><p>a acessar um determinado site e preencher o cadastro para coletar o seu prêmio.</p><p>c) Você recebe um e-mail alertando sobre um novo vírus muito perigoso e orientando-o a</p><p>procurar por determinado arquivo em seu sistema e, caso ele exista, excluí-lo imediatamente e</p><p>repassar a mensagem a todos os seus conhecidos.</p><p>d) Uma pessoa liga para você, identifica-se como sendo de uma empresa prestadora de</p><p>serviços (ex.: de telefonia), explica que há um problema no seu cadastro e pede que você</p><p>informe vários dados pessoais, como nome completo, endereço, etc.</p><p>e) Após fornecer seu endereço de e-mail em um site para se cadastrar, você recebe uma</p><p>mensagem de e-mail desse site pedindo que você clique em um link para confirmar o seu</p><p>cadastro.</p><p>Gabarito Comentado => A Engenharia Social é um método de ataque que utiliza a persuasão</p><p>para obter dados sigilosos do usuário, seja por meios eletrônicos ou não. Normalmente, o</p><p>atacante se passa por alguém confiável, como uma instituição conhecida, como um banco ou</p><p>empresa. A opção correta mencionada refere-se apenas a um procedimento de confirmação,</p><p>comum quando você se cadastra em um site e recebe uma mensagem para confirmar a</p><p>validade do seu endereço de e-mail.</p><p>17) Ativos são recursos económicos controlados por uma organização que possuem valor e</p><p>podem gerar benefícios futuros. Eles são divididos em duas categorias principais: ativos</p><p>tangíveis e ativos intangíveis. De maneira geral, qual exemplo pode ser considerado um ativo</p><p>lógico tangível?</p><p>a) Informação.</p><p>b) Marca.</p><p>c) Colaboradores.</p><p>d) Humanos.</p><p>e) Imagem da organização.</p><p>Gabarito Comentado => Ativos tangíveis lógicos são aqueles que envolvem a informação e sua</p><p>representação em algoritmos, por exemplo, uma fórmula química, os detalhes sobre a safra da</p><p>laranja no mercado norte-americano, o algoritmo principal de busca do Google, os detalhes</p><p>técnicos das baterias dos carros do Elon Musk.</p><p>18) O link de acesso à internet de uma instituição encontra-se muito instável porque o seu</p><p>provedor não cumpre o SLA. Do ponto de vista de segurança e análise de risco, isso deve ser</p><p>considerado como evidência de:</p><p>a) BYOD.</p><p>b) Ameaça.</p><p>c) Resiliência.</p><p>d) Negação de serviço.</p><p>e) Vulnerabilidade.</p><p>Gabarito Comentado => Na situação descrita no enunciado, a instabilidade do link de acesso à</p><p>internet, devido ao não cumprimento do SLA pelo provedor, é uma evidência de</p><p>vulnerabilidade. Vulnerabilidade, no contexto de segurança da informação, refere-se a uma</p><p>fraqueza que pode ser explorada por ameaças para causar danos a um ativo. Neste caso, a</p><p>vulnerabilidade é a instabilidade do link de acesso à internet, que pode ser explorada para</p><p>interromper ou degradar o serviço, afetando a disponibilidade da informação.</p><p>19) (FCC/2010) Sobre segurança da informação, considere:</p><p>I. Ameaça: algo que possa provocar danos à segurança da informação, prejudicar as ações da</p><p>empresa e sua sustentação no negócio, mediante a exploração de uma determinada</p><p>vulnerabilidade.</p><p>II. Vulnerabilidade: é medida pela probabilidade de uma ameaça acontecer e o dano</p><p>potencial à empresa.</p><p>III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações</p><p>corrompidas.</p><p>Está correto o que consta APENAS em:</p><p>a) II e III.</p><p>b) I e II.</p><p>c) I e III.</p><p>d) I.</p><p>e) III.</p><p>Gabarito Comentado => Os itens II e III apresentam os conceitos invertidos, sendo correto</p><p>afirmar: Vulnerabilidade: ponto pelo qual alguém pode ser atacado, molestado ou ter suas</p><p>informações corrompidas;</p><p>Risco: é medido pela probabilidade de uma ameaça acontecer e o dano potencial à empresa.</p><p>20) A tríade CID é uma forma simplificada de representar os múltiplos objetivos da segurança</p><p>da informação.</p><p>O que a tríade CID, que o SGSI busca preservar, representa?</p><p>a) Complacência, Integridade, Durabilidade.</p><p>b) Confidencialidade, Integridade, Disponibilidade.</p><p>c) Consistência, Implementação, Durabilidade.</p><p>d) Computação, Internet, Dados.</p><p>e) Certificação, Inovação, Desenvolvimento.</p><p>Gabarito Comentado => A tríade CID é um modelo de segurança da informação que visa</p><p>preservar a confidencialidade, integridade e disponibilidade das informações.</p><p>21) Dentre as opções a seguir, qual Norma Técnica apresenta um código de prática para a</p><p>gestão da segurança da informação?</p><p>a) ABNT NBR ISO/IEC 27002:2013</p><p>b) ABNT NBRISO 9001:2008</p><p>c) ABNT NBR ISO/IEC 27001:2013</p><p>d) ABNT NBR ISO 14001:2004</p><p>e) ABNT NBR ISO/IEC 20000-1:2011</p><p>Gabarito Comentado => A alternativa correta é a ABNT NBR ISO/IEC 27002:2013. Esta norma</p><p>técnica é um código de prática para a gestão da segurança da informação. Ela fornece diretrizes</p><p>para estabelecer, implementar, manter e melhorar continuamente a gestão da segurança da</p><p>informação em uma organização. As recomendações desta norma são genéricas e destinadas a</p><p>serem aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza.</p><p>22) Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013:</p><p>6.1.3 Tratamento de riscos de segurança da informação</p><p>A organização deve definir a aplicar um processo de tratamento de riscos de segurança da</p><p>informação para:</p><p>(...)</p><p>b) determinar todos os controles que são necessários para implementar as opções</p><p>escolhidas do</p><p>tratamento do risco da segurança da informação.</p><p>d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver</p><p>6:1.3 b) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como</p><p>a justificativa para a exclusão dos controles do Anexo A.</p><p>a) Sim.</p><p>b) Não.</p><p>c) Indica uma simples observação a ser feita.</p><p>d) Falta</p><p>informação nessa checagem para classificar.</p><p>e) Não se aplica a esta norma.</p><p>23) Assinale a assertiva que NÃO representa um dos benefícios para a adoção da norma</p><p>ABNT NBR ISO/IEC 27001:2013 por uma organização:</p><p>a) Oportunidade de identificar e eliminar fraquezas.</p><p>b) Mecanismo para minimizar o fracasso do sistema.</p><p>c) Participação da gerência na Segurança da Informação.</p><p>d) Fornece segurança a todas as partes interessadas.</p><p>e) Isola recursos com outros sistemas de gerenciamento. - CERTA</p><p>Gabarito Comentado => A alternativa que não representa um benefício da adoção da norma</p><p>ABNT NBR ISO/IEC 27001:2013 é a opção E: "isola recursos com outros sistemas de</p><p>gerenciamento". Esta norma, na verdade, promove a integração de recursos e sistemas de</p><p>gerenciamento, ao invés de isolá-los. Portanto, a afirmação é incorreta e não representa um</p><p>benefício da adoção da norma.</p><p>24) O item 12.2.1 da norma ABNT NBR ISO/IEC 27002:2013 diz respeito aos controles contra</p><p>malware, cujas diretrizes para implementação recomendam a proteção contra códigos</p><p>maliciosos baseada em softwares de detecção de malware e reparo, na conscientização da</p><p>informação, no controle de acesso adequado e nos planos de continuidade de negócio.</p><p>Com base no acima exposto, e no seu conhecimento de segurança da informação e sistemas</p><p>de computação, marque a alternativa que possui uma das diretrizes recomendadas:</p><p>a) Estabelecer uma política informal proibindo o uso de softwares autorizados.</p><p>b) Conduzir análises informais, esporádicas e descompromissadas dos softwares e dados dos</p><p>sistemas que suportam processos críticos de negócio.</p><p>c) Instalar e atualizar regularmente softwares de detecção e remoção de malware,</p><p>independentemente da fabricante, procedência e confiabilidade, para o exame de</p><p>computadores e mídias magnéticas.</p><p>d) Estabelecer uma política formal para proteção contra os riscos associados com a</p><p>importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio,</p><p>indicando quais medidas preventivas devem ser adotadas.</p><p>e) Ignorar informalmente a presença de quaisquer arquivos não aprovados ou atualização não</p><p>autorizada.</p><p>Gabarito Comentado => A alternativa correta é a D, que sugere o estabelecimento de uma</p><p>política formal para proteção contra os riscos associados com a importação de arquivos e</p><p>softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas</p><p>preventivas devem ser adotadas. Esta alternativa está alinhada com as diretrizes da norma</p><p>ABNT NBR ISO/IEC 27002:2013, que recomenda a implementação de controles contra malware</p><p>através de medidas como a conscientização da informação, o controle de acesso adequado e a</p><p>criação de planos de continuidade de negócio. Portanto, uma política formal de proteção é</p><p>uma estratégia eficaz para mitigar os riscos associados à importação de arquivos e softwares</p><p>potencialmente maliciosos.</p><p>25) A Norma ISO/IEC 27001 é uma das normas mais reconhecidas internacionalmente para a</p><p>gestão da segurança da informação. Qual é o principal objetivo da Norma ISO/IEC 27001?</p><p>a) Definir padrões para testes de penetração cibernética.</p><p>b) Prover requisitos para estabelecer, implementar, manter e melhorar continuamente um</p><p>Sistema de Gestão de Segurança da Informação (SGSI).</p><p>c) Estabelecer diretrizes para o descarte seguro de dados organizacionais.</p><p>d) Fornecer um padrão para comunicações de rede seguras.</p><p>e) Criar uma estrutura para treinamento em segurança cibernética.</p><p>Gabarito Comentado => A Norma ISO/IEC 27001 foi desenvolvida para fornecer um modelo</p><p>para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um SGSI.</p><p>26) Assinale a assertiva que representa um dos benefícios para a adoção da norma ABNT</p><p>NBR ISO/IEC 27001:2013 por uma organização:</p><p>a) Oportunidade de identificar e eliminar fraquezas.</p><p>b) Mecanismo para eliminar o sucesso do sistema.</p><p>c) Não participação da gerência na Segurança da Informação.</p><p>d) Fornece insegurança a todas as partes interessadas.</p><p>e) Isola recursos com outros sistemas de gerenciamento.</p><p>Gabarito Comentado => A norma ABNT NBR ISO/IEC 27001:2013 é uma norma internacional</p><p>que fornece o modelo para estabelecer, implementar, operar, monitorar, revisar, manter e</p><p>melhorar um Sistema de Gestão de Segurança da Informação (SGSI). Um dos benefícios de sua</p><p>adoção é a oportunidade de identificar e eliminar fraquezas no sistema de segurança da</p><p>informação da organização. Portanto, a alternativa correta é: "Oportunidade de identificar e</p><p>eliminar fraquezas".</p><p>27) A certificação ISO/IEC 27001 oferece múltiplos benefícios para as organizações,</p><p>proporcionando uma estrutura robusta e reconhecida para a gestão da segurança da</p><p>informação. Por que uma organização pode optar pela certificação ISO/IEC 27001?</p><p>a) Para evitar toda e qualquer ameaça cibernética.</p><p>b) Para garantir que nenhum incidente de segurança ocorra.</p><p>c) Para demonstrar a conformidade com os requisitos de SGSI e gerenciar riscos.</p><p>d) Para substituir a necessidade de uma equipe de segurança da informação.</p><p>e) Para garantir a satisfação do usuário final em todas as transações.</p><p>Gabarito Comentado => A certificação ISO/IEC 27001 mostra que a organização segue um</p><p>padrão reconhecido globalmente para o SGSI, ajudando a gerenciar riscos de segurança da</p><p>informação e demonstrando conformidade a partes interessadas.</p><p>28) The ISO Survey of Certifications, é uma ferramenta valiosa que fornece insights sobre a</p><p>adoçâo e difusão de padrões ISO em todo o mundo. Qual das alternativas abaixo melhor</p><p>descreve o que é o The ISO Survey of Certifications?</p><p>a) Um site onde as organizações podem obter certificações ISO.</p><p>b) Uma revista anual sobre as atualizações das normas ISO.</p><p>c) Uma pesquisa anual sobre o número de certificados válidos para os padrões do sistema de</p><p>gerenciamento ISO em todo o mundo.</p><p>d) Uma conferência onde são discutidos os padrões ISO.</p><p>e) Uma organização que define as normas ISO.</p><p>Gabarito Comentado => Trata-se de uma pesquisa anual sobre o número de certificados válidos</p><p>para os padrões do sistema de gerenciamento ISO em todo o mundo.</p><p>29) O processo de proteção de dados é um conjunto de ações que têm como objetivo</p><p>garantir a segurança e a privacidade das informações armazenadas por uma organização ou</p><p>indivíduo. Esse processo envolve a implementação de medidas técnicas, organizacionais e</p><p>legais que visam prevenir o acesso, o uso, a alteração, a destruição ou a divulgação não</p><p>autorizada de dados sensíveis. Nesse sentido, qual das opções abaixo é uma razão válida</p><p>para justificar a importância de se realizar backups regularmente como medida de segurança</p><p>da informação?</p><p>a) Backup é um desperdício de tempo e recursos, uma vez que as informações raramente são</p><p>perdidas ou corrompidas.</p><p>b) Realizar backups permite que você se livre de dados antigos e desnecessários, liberando</p><p>espaço de armazenamento valioso.</p><p>c) Caso as informações sejam perdidas ou corrompidas devido a falhas de hardware,</p><p>malware ou erros humanos, um backup recente pode ser restaurado, garantindo a</p><p>continuidade das operações.</p><p>d) Os backups são importantes apenas para grandes empresas que precisam proteger grandes</p><p>quantidades de dados confidenciais.</p><p>e) Os backups são úteis apenas para fins de auditoria e conformidade regulatória, e não têm</p><p>relação direta com a segurança da informação.</p><p>Gabarito Comentado => Caso as informações sejam perdidas ou corrompidas devido a falhas</p><p>de hardware, malware ou erros humanos, um backup recente pode ser restaurado, garantindo</p><p>a continuidade das operações. Realizar backups regularmente é uma medida fundamental de</p><p>segurança da informação, pois permite que, em caso de perda, corrupção ou inacessibilidade</p><p>de dados, uma cópia recente e íntegra possa ser restaurada, minimizando os prejuízos para a</p><p>organização. Falhas de hardware, ataques de malware e erros humanos são comuns e podem</p><p>resultar na perda de dados importantes. Portanto, é crucial que backups sejam realizados</p><p>regularmente</p><p>e que sejam armazenados em locais seguros e protegidos contra ameaças físicas</p><p>e lógicas. Além disso, backups também podem ser úteis em situações de desastres naturais,</p><p>como incêndios, inundações e terremotos, que podem destruir completamente os dados</p><p>armazenados em um único local.</p><p>30) (TRE-TO/2006 - Adaptada) Entre as medidas técnicas utilizadas no processo de proteção</p><p>de dados, estão o uso de criptografia para garantir a confidencialidade das informações, o</p><p>controle de acesso para limitar quem pode acessar os dados e em que condições, e a</p><p>realização de backups regulares para garantir a disponibilidade dos dados em caso de falhas</p><p>ou desastres. Nesse sentido, assinale a opção correta a respeito de criptografia.</p><p>a) A criptografia assimétrica provê sigilo, integridade, autenticidade e não-repúdio dos dados</p><p>cifrados.</p><p>b) A criptografia simétrica provê sigilo, integridade e autenticidade dos dados cifrados.</p><p>c) Na criptografia assimétrica, é utilizada uma única chave para cifração e decifração.</p><p>d) Na criptografia assimétrica, são utilizadas duas chaves, uma pública e uma privada, sendo</p><p>uma especificamente utilizada para cifrar e a outra, para decifrar.</p><p>e) Um dos pontos fortes dos sistemas de criptografia simétrica é a facilidade da distribuição da</p><p>chave aos seus usuários.</p><p>Gabarito Comentado => A criptografia simétrica não provê autenticidade. A criptografia</p><p>assimétrica utiliza duas chaves, uma pública e uma privada. Como a criptografia simétrica</p><p>utiliza apenas uma chave para criptografar/descriptografar, a mensagem será comprometida</p><p>caso o invasor consiga capturar tal chave. Para garantir a segurança de divulgação da chave</p><p>secreta, utiliza-se a criptografia assimétrica em conjunto. Dessa forma, é notória a dificuldade</p><p>de distribuição da chave simétrica.</p><p>31) Em relação ao backup incremental, selecione a opção correta:</p><p>a) É a cópia de todos os dados que foram modificados desde o último backup de qualquer</p><p>tipo.</p><p>b) Faz cópias de todos os dados, inclusive dos logs de transações associados, para outro</p><p>conjunto de mídia, que pode ser fita, disco, um DVD ou CD.</p><p>c) É a cópia dos dados criados e modificados desde o último backup.</p><p>d) Também é chamado de backup incremental cumulativo.</p><p>e) É exatamente igual ao backup diferencial.</p><p>Gabarito Comentado => O backup incremental é um tipo de backup que copia todos os dados</p><p>que foram modificados desde o último backup de qualquer tipo. Isso significa que ele não</p><p>copia todos os dados, mas apenas aqueles que foram alterados. Portanto, a alternativa A está</p><p>correta, pois afirma que o backup incremental é a cópia de todos os dados que foram</p><p>modificados desde o último backup de qualquer tipo.</p><p>32) "Todo acesso a cada objeto deve ser verificado quanto à autoridade. Esse princípio,</p><p>quando aplicado sistematicamente, é o principal fundamento do sistema de proteção".</p><p>Selecione a opção que se refere a esse mecanismo de proteção:</p><p>a) Separação de privilégios.</p><p>b) Mediação completa.</p><p>c) Compartilhamento mínimo.</p><p>d) Privilégio mínimo.</p><p>e) Padrões à prova de falhas.</p><p>Gabarito Comentado => O princípio descrito no enunciado refere-se à "Mediação completa".</p><p>Este princípio de segurança da informação estabelece que todo acesso a cada objeto deve ser</p><p>verificado quanto à autoridade, ou seja, deve haver uma verificação completa de permissões</p><p>antes de conceder acesso a qualquer recurso ou informação. Isso garante que apenas usuários</p><p>autorizados possam acessar e manipular os dados, contribuindo para a proteção e integridade</p><p>das informações.</p><p>33) (AMEOSC/2022 - Adaptada) Protege o computador contra outros programas</p><p>potencialmente danosos. Ele detecta, impede e atua na remoção de programas maliciosos,</p><p>como vírus e worms. Marque a alternativa CORRETA que corresponde ao contexto acima.</p><p>a) Proxy.</p><p>b) Antivírus.</p><p>c) Firewall.</p><p>d) Painel de Controle.</p><p>e) Roteador.</p><p>Gabarito Comentado => O antivírus é um programa de segurança projetado para detectar,</p><p>impedir e remover softwares maliciosos, como vírus e worms, que podem prejudicar o</p><p>computador e seus arquivos. Ele trabalha constantemente em segundo plano para monitorar</p><p>atividades suspeitas e alertar o usuário sobre possíveis ameaças. Por isso, o antivírus é uma</p><p>medida importante de proteção contra ameaças virtuais e deve ser mantido sempre</p><p>atualizado.</p><p>34) O sistema de backup de missão crítica é também chamado de ambiente de:</p><p>a) Personal Identification Number.</p><p>b) Personal Unblocking Key.</p><p>c) Ransomware.</p><p>d) Disaster Recovery</p><p>e) Daily Backup</p><p>Gabarito Comentado => O termo "Disaster Recovery" é o correto. Ele se refere a um conjunto</p><p>de políticas e procedimentos que permitem a recuperação ou continuação de sistemas de</p><p>tecnologia e infraestrutura vitais após um desastre natural ou humano. No contexto da</p><p>pergunta, um sistema de backup de missão crítica é um exemplo de um ambiente de "Disaster</p><p>Recovery", pois é projetado para garantir a continuidade dos negócios e minimizar o tempo de</p><p>inatividade em caso de falhas graves ou desastres.</p><p>35) (CESGRANRlO/2012) O uso de criptografia simétrica no compartilhamento de</p><p>informações secretas requer o compartilhamento de chave simétrica. Uma forma segura para</p><p>um emissor enviar uma chave simétrica por meios de comunicação inseguros para um</p><p>receptor é criptografar essa chave com a chave:</p><p>a) privada do emissor.</p><p>b) privada do receptor.</p><p>c) pública do emissor.</p><p>d) pública do receptor.</p><p>e) pública do emissor e a chave do receptor.</p><p>Gabarito Comentado => Para enviar uma chave simétrica por meios de comunicação inseguros,</p><p>é necessário criptografá-la.</p><p>36) Para enviar uma chave simétrica por meios de comunicação inseguros, é necessário</p><p>criptografá-la. Nesse caso, a criptografia deve ser realizada utilizando a chave pública do</p><p>receptor. Quanto mais complexa for uma senha, mais difícil será para o invasor quebrá-la</p><p>com o uso de programas, exclusivamente. Levando em consideração essa afirmação,</p><p>selecione a opção que possui a senha com maior grau de dificuldade de ser descoberta por</p><p>um invasor:</p><p>a) X1234Y1</p><p>b) MaRiA96</p><p>c) aX1!@7s5</p><p>d) 69910814sa</p><p>e) SeNhA123</p><p>Gabarito Comentado => A senha "aX1!@7s5" é a mais complexa entre as opções apresentadas.</p><p>Ela combina letras maiúsculas e minúsculas, números e caracteres especiais, tornando-a mais</p><p>difícil de ser quebrada por programas de invasão. A complexidade de uma senha é</p><p>determinada pela variedade de caracteres utilizados e pelo seu comprimento.</p><p>37) Complete a frase corretamente: "as funções de hash, por exemplo, são adequadas para</p><p>garantir a integridade dos dados, porque " Geralmente podem ser calculadas muito mais</p><p>rápido que os valores de criptografia de chave pública.</p><p>a) Qualquer alteração feita no conteúdo de uma mensagem fará com que o receptor calcule</p><p>um valor de hash diferente daquele colocado na transmissão pelo remetente.</p><p>b) Geralmente podem ser calculadas muito mais rápido que os valores de criptografia de chave</p><p>pública.</p><p>c) Usam chave única para criptografar e descriptografará mensagem.</p><p>d) Fazem a troca de chaves na chave simétrica.</p><p>e) Utilizam algoritmos de criptografia de chave pública.</p><p>Gabarito Comentado => A resposta correta é: Qualquer alteração feita no conteúdo de uma</p><p>mensagem fará com que o receptor calcule um valor de hash diferente daquele colocado na</p><p>transmissão pelo remetente.</p><p>38) Segurança da informação é um conjunto de práticas e medidas destinadas a proteger a</p><p>confidencialidade, integridade e disponibilidade de informações. Qual das opções abaixo é</p><p>considerada uma boa prática de segurança?</p><p>a) Nunca compartilhar senhas.</p><p>b) Sempre utilizar antivírus desatualizados.</p><p>c) Sempre abrir links ou fazer download de arquivos enviados por e-mails não confiáveis ou de</p><p>remetentes desconhecidos.</p><p>d) Nunca baixar programas de fornecedores oficiais.</p><p>e) Desabilitar o firewall do sistema operacional.</p><p>Gabarito Comentado => O compartilhamento de senhas é uma prática arriscada e pode</p><p>comprometer a segurança da informação,</p><p>já que uma vez que a senha é compartilhada, a</p><p>pessoa que a recebe pode ter acesso a informações confidenciais. Portanto, manter senhas</p><p>seguras e não compartilhá-las é uma boa prática para proteger a confidencialidade das</p><p>informações.</p><p>39) A gestão de riscos de segurança da informação é um processo fundamental para proteger</p><p>ativos de informação contra ameaças e vulnerabilidades que podem comprometer a</p><p>confidencialidade, integridade e disponibilidade dos dados. Ela envolve a identificação,</p><p>avaliação, tratamento e monitoramento dos riscos de segurança da informação em uma</p><p>organização. O que são riscos residuais na gestão de riscos de segurança da informação?</p><p>a) Riscos que não podem ser tratados.</p><p>b) Riscos que foram aceitos pela organização.</p><p>c) Riscos que foram totalmente eliminados.</p><p>d) Riscos que não foram identificados.</p><p>e) Riscos que foram transferidos para terceiros.</p><p>Gabarito Comentado => Riscos residuais são aqueles que foram aceitos pela organização após</p><p>o tratamento, pois podem ser considerados pequenos ou de alguma forma inevitáveis.</p><p>40) A gestão de riscos de segurança da informação é uma prática essencial para proteger os</p><p>ativos de informação e garantir a continuidade dos negócios em um ambiente cada vez mais</p><p>digital e sujeito a ameaças. Qual dos seguintes elementos é essencial na gestão de riscos de</p><p>segurança da informação?</p><p>a) Comunicação do risco.</p><p>b) Aceitação do risco.</p><p>c) Medidas de controle.</p><p>d) Vulnerabilidade identificadas.</p><p>e) Ativos de informação.</p><p>Gabarito Comentado => As medidas de controle desempenham um papel fundamental na</p><p>gestão de riscos de segurança da informação, pois são usadas para reduzir a probabilidade e o</p><p>impacto de incidentes de segurança.</p><p>41) Houve um superaquecimento em um roteador, que parou de funcionar. O plano de</p><p>tratamento para esse caso, definido como "risco alto", será colocado em prática</p><p>imediatamente, porque esse risco é considerado:</p><p>a) Prioritário.</p><p>b) Não identificado.</p><p>c) Informalmente identificado.</p><p>d) Residual.</p><p>e) Resolvido.</p><p>Gabarito Comentado => Na situação apresentada no enunciado, um roteador superaqueceu e</p><p>parou de funcionar, sendo classificado como um "risco alto". Isso significa que a situação é</p><p>crítica e precisa ser tratada imediatamente. Portanto, esse risco é considerado "Prioritário", o</p><p>que justifica a resposta correta ser a alternativa A. Os riscos prioritários são aqueles que</p><p>exigem ação imediata para prevenir ou mitigar danos significativos.</p><p>42) A proteção de informações, também conhecida como segurança da informação, é uma</p><p>área crítica na era digital, na qual a informação desempenha um papel fundamental nos</p><p>negócios e na sociedade como um todo. A proteção de informações visa impedir a divulgação</p><p>não autorizada, a alteração indesejada e a indisponibilidade de dados e sistemas. Qual dos</p><p>seguintes termos se refere à proteção de informações contra acesso não autorizado?</p><p>a) Integridade.</p><p>b) Disponibilidade.</p><p>c) Ameaça.</p><p>d) Vulnerabilidade.</p><p>e) Confidencialidade.</p><p>Gabarito Comentado => A confidencialidade está relacionada à proteção de informações contra</p><p>acesso não autorizado. Ela é um dos pilares da segurança da informação.</p><p>43) Um ataque de negação de serviço tenta afetar a disponibilidade de um ativo, por</p><p>exemplo, inundando um servidor de aplicação em rede com mais dados do que é capaz de</p><p>processar por unidade de tempo. Se existe uma ferramenta, dentro do domínio do servidor,</p><p>que reage a um ataque de negação de serviço, ela é classificada como uma medida de</p><p>controle:</p><p>a) Preventiva.</p><p>b) Limitadora.</p><p>c) Detectora.</p><p>d) Reativa.</p><p>e) Recuperadora.</p><p>Gabarito Comentado => A ferramenta descrita no enunciado é classificada como uma medida</p><p>de controle reativa porque ela responde a um ataque de negação de serviço depois que ele</p><p>ocorre. As medidas de controle reativas são projetadas para responder a um incidente de</p><p>segurança em andamento, ao contrário das medidas preventivas, que são projetadas para</p><p>prevenir incidentes de segurança antes que eles ocorram. As medidas limitadoras, por outro</p><p>lado, são projetadas para limitar o impacto de um incidente de segurança, enquanto as</p><p>medidas detectoras são projetadas para detectar incidentes de segurança. As medidas</p><p>recuperadoras são projetadas para recuperar de um incidente de segurança.</p><p>44) Um funcionário de uma empresa concluiu que existe uma probabilidade de 67% de</p><p>sobrecarga e problemas no serviço de distribuição de conteúdo de vídeo em um eventual</p><p>aumento na demanda do servidor. Dentro da GR, essa conclusão pode ser obtida na etapa</p><p>de:</p><p>a) Definição do contexto.</p><p>b) Monitoramento e controle de riscos.</p><p>c) Processo de avaliação de riscos.</p><p>d) Terminação de riscos.</p><p>e) Aceitação do risco (residual).</p><p>Gabarito Comentado => A etapa em que um funcionário de uma empresa pode concluir a</p><p>probabilidade de sobrecarga e problemas no serviço de distribuição de conteúdo de vídeo, em</p><p>um eventual aumento na demanda do servidor, é durante o "Processo de avaliação de riscos".</p><p>Esta etapa envolve a identificação e análise dos riscos que podem afetar um projeto ou uma</p><p>operação. Neste caso, o risco identificado é a sobrecarga do servidor devido ao aumento da</p><p>demanda. A probabilidade de 67% foi determinada como parte dessa avaliação de risco.</p><p>45) O sistema de monitoramento de nobreak detectou uma variação na tensão elétrica na</p><p>entrada dos aparelhos, mas essa variação não foi o suficiente para causar danos aos</p><p>equipamentos de computação a eles conectados. Conforme os termos relacionados à</p><p>segurança da informação, o que ocorreu pode ser classificado como:</p><p>a) Evento.</p><p>b) Tensionamento.</p><p>c) Eletricidade.</p><p>d) Dano.</p><p>e) Variação.</p><p>Gabarito Comentado => No contexto da segurança da informação, um "evento" é qualquer</p><p>ocorrência que seja significativa para a gestão da informação. Neste caso, a variação na tensão</p><p>elétrica detectada pelo sistema de monitoramento do nobreak é um evento, pois é uma</p><p>ocorrência que pode ter implicações para a segurança da informação, mesmo que não tenha</p><p>causado danos aos equipamentos de computação.</p><p>46) Pontos de falha na segurança da informação são áreas ou componentes de um sistema,</p><p>rede, processo ou organização que apresentam vulnerabilidades. Qual é a definição de</p><p>"vulnerabilidade" na segurança da informação?</p><p>a) Uma causa potencial de um incidente indesejado.</p><p>b) Uma mudança não desejável nos objetivos de negócios.</p><p>c) Uma medida que pode modificar o risco.</p><p>d) Uma fragilidade de um ativo que pode ser explorada por ameaças.</p><p>e) Um evento indesejado que compromete a segurança da informação.</p><p>Gabarito Comentado => Uma vulnerabilidade é uma fragilidade de um ativo que pode ser</p><p>explorada por uma ou mais ameaças, comprometendo a segurança da informação.</p><p>47) Um membro da comissão de segurança precisa saber informações sobre cada um dos</p><p>processos da GR. Ele consultará uma dentre as normas da família ISO/IEC 27000, que</p><p>definem uma série de normas relacionadas à segurança da informação. Ele precisa obter a</p><p>norma:</p><p>a) ISO/IEC 27000</p><p>b) ISO/IEC 27001</p><p>c) ISO/IEC 27002</p><p>d) ISO/IEC 27005</p><p>e) ISO/IEC 31000</p><p>Gabarito Comentado => A norma ISO/IEC 27005 é a mais adequada para o membro da</p><p>comissão de segurança que precisa saber informações sobre cada um dos processos da GR.</p><p>Esta norma é parte da família ISO/IEC 27000 e fornece diretrizes para a gestão de riscos de</p><p>segurança da informação, o que inclui detalhes sobre todos os processos envolvidos.</p><p>48) O acesso não autorizado é uma das principais ameaças à segurança da informação e</p><p>ocorre quando uma pessoa ou entidade obtém acesso a sistemas, dados, redes ou</p><p>informações confidenciais sem a devida permissão ou autorização. Qual dos seguintes</p><p>termos se refere à proteção de informações contra acesso não autorizado?</p><p>a) Integridade.</p><p>b) Disponibilidade.</p><p>c) Ameaça.</p><p>d) Vulnerabilidade.</p><p>e) Confidencialidade.</p><p>Gabarito Comentado => A confidencialidade está relacionada à proteção de informações contra</p><p>acesso não autorizado.</p><p>Ela é um dos pilares da segurança da informação.</p><p>49) Um Plano de Recuperação de Desastres (PRD) é o documento que define os recursos,</p><p>ações, tarefas e dados requeridos para administrar ____________ e ____________ que</p><p>suportam os Processos de Negócio. Selecione a opção que preenche corretamente as</p><p>lacunas:</p><p>a) o processo de recuperação; restauração dos componentes.</p><p>b) o plano de continuidade; tratamento dos eventos previsíveis.</p><p>c) o plano de continuidade; tratamento dos eventos imprevisíveis.</p><p>d) as consequências dos desastres previsíveis; na criação de planos de ação.</p><p>e) o plano de operação; avaliar os pontos de controle.</p><p>Gabarito Comentado => A resposta correta é: o processo de recuperação; restauração dos</p><p>componentes.</p><p>50) O PDCA é um instrumento muito importante para desenvolver um plano de continuidade</p><p>de negócios (PCN). Selecione a opção que é responsável por realizar a melhoria contínua do</p><p>plano de continuidade de negócios:</p><p>a) P - Planejar.</p><p>b) D - Executar.</p><p>c) C - Checar.</p><p>d) A - Agir.</p><p>e) O PDCA não é adequado para o PCN.</p><p>Gabarito Comentado => A alternativa correta é a que corresponde à ação de "Agir". No ciclo</p><p>PDCA (Plan-Do-Check-Act), a etapa "Agir" é responsável pela implementação de melhorias</p><p>contínuas no plano de continuidade de negócios. Isso ocorre após as etapas de planejamento,</p><p>execução e verificação, onde são identificadas possíveis falhas ou oportunidades de melhoria.</p><p>A etapa 'Agir" é, portanto, crucial para garantir a eficácia e aprimoramento constante do plano.</p><p>Ter um Plano de Continuidade de Negócios (PCN) robusto é fundamental para empresas de</p><p>todos os tamanhos, pois ajuda a mitigar riscos, proteger ativos críticos, manter a confiança dos</p><p>clientes e garantir a sobrevivência do negócio.</p><p>51) Qual é o principal objetivo do Plano de Continuidade de Negócios (PCN)?</p><p>a) Identificar as causas naturais de desastres.</p><p>b) Identificar as vulnerabilidades dos sistemas de TI.</p><p>c) Identificar estratégias de marketing.</p><p>d) Garantir a recuperação e a continuidade das operações em caso de desastres.</p><p>e) Desenvolver planos de vendas.</p><p>Gabarito Comentado => O principal objetivo do Plano de Continuidade de Negócios (PCN) é</p><p>preservar o negócio da organização em caso de desastres ou eventos que possam interromper</p><p>suas operações normais.</p><p>52) Diante da importância do Planejamento de Continuidade de Negócios (PCN) para garantir</p><p>a resiliência das organizações diante de cenários adversos, é crucial compreender os</p><p>instrumentos utilizados para sua implementação. Marque a alternativa que indica o</p><p>instrumento mais utilizado para a implementação do PCN.</p><p>a) SWOT (Strengths, Weaknesses, Opportunities, Threats - Forças, Fraquezas, Oportunidades e</p><p>Ameaças).</p><p>b) BSC (Balanced Scorecard - Indicadores Balanceados de Desempenho).</p><p>c) PDCA (Plan, Do, Check, Act - Planejar, Fazer, Verificar, Agir).</p><p>d) ROI (Return on Investment - Retorno sobre o Investimento).</p><p>e) CRM (Customer Relationship Management - Gestão de Relacionamento com o Cliente).</p><p>Gabarito Comentado => O PDCA (Plan, Do, Check, Act - Planejar, Fazer, Verificar, Agir) é um</p><p>método amplamente reconhecido e utilizado na gestão da qualidade e melhoria contínua. O</p><p>PDCA oferece uma estrutura sistemática para planejar, executar, verificar resultados e agir de</p><p>acordo com as necessidades identificadas. Isso o torna uma ferramenta eficaz para a</p><p>implementação do PCN, pois ajuda as organizações a identificar, avaliar e corrigir potenciais</p><p>vulnerabilidades, garantindo a continuidade das operações em cenários de desastre.</p><p>53) Os quatro pilares fundamentais que sustentam o negócio de uma organização são</p><p>elementos essenciais que formam a base para a sua existência e operação eficaz. Eles</p><p>desempenham um papel fundamental na estruturação de todas as demais áreas da</p><p>organização. Quais são os quatro pilares fundamentais que sustentam o negócio de uma</p><p>organização?</p><p>a) Economia, Tecnologia, Política e Cultura.</p><p>b) Missão, Visão, Valores e Estratégia.</p><p>c) Pessoas, Processos, Tecnologia e Recursos.</p><p>d) Qualidade, Eficiência, Sustentabilidade e Inovação.</p><p>e) Marketing, Vendas, Pesquisa e Desenvolvimento.</p><p>Gabarito Comentado => Os quatro pilares fundamentais que sustentam o negócio de uma</p><p>organização são Pessoas, Processos, Tecnologia e Recursos.</p><p>54) O Risco é um conceito importante quando se trata do Plano de Continuidade de Negócios</p><p>(PCN). A respeito do Risco, selecione a opção correta:</p><p>a) Possível evento que pode causar perdas ou danos, ou dificultar o atingimento de</p><p>objetivos.</p><p>b) Evento súbito e imprevisto que provoca grandes perdas ou danos a uma organização.</p><p>c) Normalmente não podem ser controlados.</p><p>d) Não pode ser analisado em termos probabilísticos, uma vez que sempre está presente.</p><p>e) um conceito abstrato e com baixa chance de se transformar em um desastre.</p><p>Gabarito Comentado => A alternativa correta é a: Possível evento que pode causar perdas ou</p><p>danos, ou dificultar o atingimento de objetivos.</p><p>55) Dos planos que constituem o PCN (Plano de Continuidade de Negócios), selecione o que</p><p>define as funções e responsabilidades das equipes envolvidas com acionamento das equipes</p><p>de contingência:</p><p>a) Plano de Contingência (Emergência).</p><p>b) Plano de Administração de Crises (PAC).</p><p>c) Plano de Recuperação de Desastres (PRD).</p><p>d) Plano de Continuidade Operacional (PCO).</p><p>e) PDCA (Plan-Do-Check-Execute).</p><p>Gabarito Comentado => L O Plano de Administração de Crises (PAC) é o plano que define as</p><p>funções e responsabilidades das equipes envolvidas com o acionamento das equipes de</p><p>contingência. Este plano é essencial para garantir que, em situações de crise, haja uma</p><p>estrutura clara de responsabilidades e ações a serem tomadas para minimizar os impactos e</p><p>garantir a continuidade dos negócios.</p><p>56) O Gerenciamento da Continuidade dos Serviços de Tecnologia Informação (GCSTI) é um</p><p>processo essencial para que o negócio possa voltar a operar com o suporte dos serviços de TI</p><p>o mais rápido possível após a ocorrência de um cenário de desastre. Selecione a opção que</p><p>apresenta um possível desafio de desenvolvimento de um GCSTI:</p><p>a) Obter referências para adoção das melhores práticas apropriadas em TI.</p><p>b) Criar um GCSTI quando não existirem planos de gerenciamento de continuidade de</p><p>negócios.</p><p>c) Obter exemplos no mercado de casos de sucesso do desenvolvimento, da implantação e da</p><p>aplicação da GCSTI.</p><p>d) Encontrar apoio profissional no mercado para dar suporte ao desenvolvimento da GCSTI.</p><p>e) Justificar a importância do desenvolvimento da GCSTI.</p><p>Gabarito Comentado => O desenvolvimento de um Gerenciamento da Continuidade dos</p><p>Serviços de Tecnologia da Informação (GCSTI) pode ser um desafio quando não existem planos</p><p>de gerenciamento de continuidade de negócios. Isso ocorre porque o GCSTI é uma parte</p><p>integrante do plano de continuidade de negócios, que visa garantir que as operações de</p><p>negócios possam continuar em caso de um desastre. Sem um plano de continuidade de</p><p>negócios, pode ser difícil determinar quais serviços de TI são essenciais para a continuidade</p><p>das operações e como eles devem ser gerenciados em caso de um desastre.</p><p>57) Uma Política de Gestão de Continuidade de Negócios (PGCN) eficaz desempenha um</p><p>papel crucial na proteção dos ativos da organização, na minimização de interrupções</p><p>operacionais e na garantia de que a organização possa se recuperar rapidamente de eventos</p><p>disruptivos. Qual é o principal propósito da Política de Gestão de Continuidade de Negócios</p><p>(PGCN), de acordo com a NBR15999-1 (2007)?</p><p>a) Melhorar a eficiência dos processos de negócios da organização.</p><p>b) Atender a regulamentações de segurança cibernética.</p><p>c) Fornecer uma base para entender, desenvolver e implementar a continuidade de negócios</p><p>na organização.</p><p>d) Implementar práticas de gerenciamento de projetos.</p><p>e) Criar planos de marketing para a organização.</p><p>Gabarito Comentado => De acordo com a NBR15999-1, o propósito da PGCN é fornecer uma</p><p>base para entender, desenvolver</p><p>e implementar a continuidade de negócios em uma</p><p>organização, fortalecendo a confiança nos negócios junto aos clientes e a outras organizações.</p>