Segurança Da Informação

Question 1

Certo ou errado?

O gerenciamento de riscos diz respeito ao processo de identificação, controle e minimização ou eliminação dos riscos de segurança que podem afetar os sistemas de informação, a um custo aceitável.

Answer 1

Certo!

Question 2

Certo ou errado?

No âmbito organizacional, a segurança da informação deve se vista como um processo responsável por tratar exclusivamente a informação pertencente a área de tecnologia.

Answer 2

Errado! Todas as áreas devem seguir isso.

Question 3

O sucesso de um programa de proteção da informação depende, em grande parte, do compromisso dos funcionários da empresa com o programa.
A política de mesa limpa e tela protegida, estipulada pela norma ISO 27002:2005, deve ser adotada para:

Answer 3

Prevenir acessos de usuários não autorizados e evitar o comprometimento e o roubo da informações e recursos.

Question 4

Certo ou errado?

Estão entre os objetivos da segurança da informação a garantia da continuidade do negócio, a minimização dos riscos para o negócio e a maximização do retorno sobre os investimentos.

Answer 4

Certo!

Question 5

Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. A segurança da informação é obtida:

Answer 5

A partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

Question 6

Certo ou errado?

A política de segurança da informação de uma organização deve ser elaborada de acordo com
os requisitos relacionados ao negócio dessa organização e com as leis e regulamentações
relevantes.

Answer 6

Certo!

Question 7

Certo ou errado?

As características básicas da segurança da informação — confidencialidade, integridade e disponibilidade — não são atributos exclusivos dos sistemas computacionais.

Answer 7

Certo!

Question 8

Certo ou errado?

A segurança da informação pode ser entendida como uma atividade voltada à preservação de princípios básicos, como confidencialidade, integridade e disponibilidade da informação

Answer 8

Certo!

Question 9

Certo ou errado?

Em um ambiente bancário, integridade e auditabilidade tem prioridade sobre a confidencialidade.

Answer 9

Certo!

Question 10

Segurança da Informação é um tema que se reveste atualmente de alta importância para os negócios. Um de seus aspectos mais relevantes está associado à capacidade do sistema de permitir que alguns usuários acessem determinadas informações e paralelamente impede que outros, não autorizados, a vejam. O aspecto abordado é denominado:

Answer 10

Confidencialidade

Question 11

Um auditor de segurança de um sistema de comunicações percebeu que o conteúdo de determinada mensagem fora alterado e, durante sua investigação, concluiu que a alteração se devia a uma falha no sincronismo do sistema de transmissão.

No contexto da segurança da informação, esse caso envolve o princípio da:

Answer 11

Integridade.

Question 12

Certo ou errado?

Uma política de segurança da informação deve fornecer orientação e apoio da direção para a
segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. O documento da política de segurança da informação necessita da aprovação da direção da organização e deve ser publicado e comunicado para
todos os funcionários e partes externas relevantes, não devendo ser alterado a partir de então.

Answer 12

Errado!

Question 13

Certo ou errado?

A definição de requerimentos e objetivos de segurança
na ISO 27001 cita que é necessário utilizar a norma ISO 27002, que trata de processos de negócios.

Answer 13

Errado! A 27002 trata de boas práticas.

Question 14

Certo ou errado?

A ISO 17799 define diretrizes para certificação de que
uma organização está em conformidade à própria norma. Essa certificação é conferida por meio de uma
auditoria de terceira parte, nos moldes da ISO 19011.

Answer 14

Errado! Quem define isso é a 27001. (17799 é a 27002)

Question 15

Qual é o objetivo da Norma NBR ISO/IEC 27001?

Answer 15

Organizar os mecanismos para estabelecer, implementar, operar, monitorar, revisar,
manter e melhorar um sistema para gerência da segurança da informação (ISMS–Information Security Management System), sendo a norma usada como base para a
certificação em segurança da informação.

Question 16

Certo ou errado?

ISO 27001 é uma especifcação para implementação de um
sistema de gestão de segurança da informação.

Answer 16

Certo!

Question 17

Certo ou errado?

ISO 27002 apresenta boas práticas para gestão da segurança
da informação.

Answer 17

Certo!

Question 18

Certo ou errado?

ISO 27003 é um guia para implementação de sistemas de
gestão de segurança da informação.

Answer 18

Certo!

Question 19

Certo ou errado?

A seção 5 da norma ISO/IEC 27001 trata de como a informação deve ser classificada, de acordo com a sua necessidade de segurança e controle de
acesso.

Answer 19

Errado! Ele fala sobre as responsabilidades da direção.

Question 20

Certo ou errado?

A norma ISO 27001:2005 utiliza o modelo PDCA de
melhoria para estruturar todos os processos do SGSI.

Answer 20

Certo!

Question 21

O modelo aplicado para estruturar os processos
do Sistema de Gestão de Segurança da
Informação (SGSI), segundo a Norma ABNT NBR
ISO/IEC 27001:2006, é o:

Answer 21

PDCA

Question 22

A direção de uma empresa liderou os estudos sobre diversas medidas para melhorar a gestão de segurança da informação em conformidade com a norma ISO 270002:2005. Dentre suas preocupações, ressaltou a vulnerabilidade dos softwares e das instalações de processamento de informações à introdução de software malicioso, tais como vírus de computador, network worms, cavalos de Troia e bombas lógicas. A direção, então, determinou que o supervisor da área de informática sugerisse medidas de proteção contra software malicioso que refletissem essa preocupação, incluindo a possibilidade de implementação de controles para detecção e prevenção contra softwares maliciosos e procedimentos apropriados de conscientização dos usuários.

De posse dessas informações, o supervisor deverá escudar-se na norma ISO 27002:2005, seção de:

Answer 22

Controle de Acessos

Question 23

A gerência de determinado laboratório resolveu limitar o acesso às suas dependências por meio de portas com dispositivo de liberação a partir de uma característica física do usuário. Havia quatro tipos de equipamentos com tecnologias de biometria no mercado, a saber: retina, impressão digital, assinatura e íris. A primeira providência do gerente foi ordenar os tipos por seus potenciais de precisão intrínsecos, do mais preciso para o menos preciso.

Considerando-se o potencial intrínseco de cada tipo de tecnologia, como essas quatro tecnologias seriam ordenadas, da mais precisa para a menos precisa?

Answer 23

Retina, íris, impressão digital e assinatura

Question 24

As assinaturas digitais realizadas antes da revogação de um certificado digital podem continuar válidas após a expiração desse certificado. Que recurso pode garantir essa facilidade?

Answer 24

Carimbos de tempo

Question 25

O tipo de código malicioso que utiliza a rede como forma de disseminação, normalmente explorando vulnerabilidades em sistemas remotos, é chamado de

Answer 25

worm

Question 26

Para comprovar a veracidade da assinatura digital de uma mensagem assinada pela entidade A com o algoritmo RSA, qual chave da entidade A a entidade B deve conhecer?

Answer 26

Pública

Question 27

Por questão de segurança, é fundamental validar os certificados digitais. Dentre as etapas de validação, é importante verificar se o certificado está revogado pela Autoridade Certificadora (AC) que o emitiu.

Para isso, é necessário consultar a lista de certificados revogados (LCR), publicada pela AC, e verificar se lá está listada(o) a(o) :

Answer 27

número de série do certificado

Question 28

O objetivo de uma Política de Segurança é prover uma orientação e um apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. A Política de Segurança deve:

Answer 28

ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

Question 29

Segundo a ISO/IEC 27002:2005, o objetivo da classificação da informação é assegurar que os ativos da informação recebam um nível adequado de proteção. A informação deve ser classificada para indicar a importância, a prioridade e o nível de proteção.

A nova lei sobre classificação de informações, aprovada no Congresso em outubro de 2011, estabelece que nenhum documento poderá permanecer mais de 50 anos em sigilo e que o documento classificado como confidencial deixará de existir.

Essa lei altera os aspectos de classificação relacionados a critérios de:

Answer 29

Confidencialidade

Question 30

A ISO 27002 estabelece que é conveniente que a tarefa de definir a classificação de um ativo, analisando-o criticamente a intervalos regulares, e assegurando que ele está atualizado e no nível apropriado é de responsabilidade do:

Answer 30

proprietário do ativo

Question 31

Certificados Digitais podem ser utilizados em um processo de comunicação segura. Esses certificados são expedidos e assinados por um terceiro confiável, denominado Autoridade Certificadora (CA – Certification Authority), o qual confirma a identidade do usuário ou host.

O esquema de Certificados Digitais:

Answer 31

fornece um conjunto de dados confiável que atesta a associação de uma chave pública a um usuário final.

Question 32

Os resultados da análise/avaliação de riscos ajudam a direcionar e determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento e para a implementação dos controles selecionados para a proteção contra esses riscos.

De acordo com a ISO/IEC 27002:

Answer 32

convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e que inclua relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.

Question 33

Os sistemas criptográficos contemporâneos se valem do poder de processamento dos computadores para criar al- goritmos difíceis de quebrar. Essa mesma capacidade de processamento é uma das forças da criptoanálise. Nes-se contexto, um dos conceitos (princípio de Kerckhoffs) que prevalecem para certificar ou homologar algoritmos criptográficos é que eles devem ser tão bem construídos que sua resistência a ataques de criptoanálise não deve residir no sigilo do algoritmo, mas, unicamente, no segredo da(o):

Answer 33

chave

Question 34

Os mecanismos de segurança da informação proporcionam a implantação de diferentes tipos de controle. Honeypot é exemplo de um recurso que pode implantar segurança por meio de controle:

Answer 34

lógico

Question 35

Quais estão corretas?

Considere as seguintes afirmativas sobre vírus de macro:

I - Para que o vírus possa ser executado, o arquivo que o contém precisa ser necessariamente aberto.
II - Arquivos nos formatos gerados por programas da Microsoft, como o Word, Excel, Powerpoint e Access, são os mais suscetíveis a esse tipo de vírus.
III - Arquivos nos formatos RTF, PDF e PostScript são menos suscetíveis, mas isso não signifi ca que não possam conter vírus.

Answer 35

I, II e III. Todas estão corretas.

Question 36

Certo ou errado?

O conceito de segurança da informação, além de
implicar a integridade e a disponibilidade da
informação, pode incluir, entre outras propriedades
desta, a autenticidade e a confiabilidade.

Answer 36

Certo!

Question 37

Certo ou errado?

Os critérios de confidencialidade, integridade e
disponibilidade tornam a informação compatível com
os requisitos de segurança.

Answer 37

Certo!

Question 38

De acordo com a NBR ISO/IEC 27001, integridade é:

Answer 38

a propriedade de salvaguarda da exatidão e completeza de

ativos.

Question 39

Para os efeitos da Política de Segurança de
Informações do Tribunal de Contas do Estado de
Goiás, o princípio de segurança que garante a
confiabilidade da informação, evitando que esta seja
adulterada ou destruída sem a permissão de seu
gestor denomina-se:

Answer 39

Integridade

Question 40

Certo ou errado?

Um evento de segurança de informação é uma ocorrência em
um sistema, serviço ou estado de rede que indica, entre
outras possibilidades, um possível desvio em relação aos
objetivos de segurança específicos da organização, e um
incidente de segurança de informação é um evento único ou
uma série de eventos indesejados de segurança da
informação que possuem um impacto mediano sobre os
negócios.

Answer 40

bhbhbhjb

Question 41

Certo ou errado?

Riscos residuais referem-se aos riscos para os quais
ainda não foram estabelecidos controles dentro do
tratamento de riscos.

Answer 41

Errado!

Question 42

Na NBR ISO/IEC 27001:2006, o processo de
comparar o risco estimado com critérios de risco
predefinidos para determinar a importância do risco
é o processo de:

Answer 42

Avaliar riscos.

Question 43

Um risco de segurança pode ser considerado uma

função da ameaça em relação a:

Answer 43

impacto e probabilidade de ocorrência.

Question 44

Na NBR ISO/IEC 27001:2006, o termo “declaração de
aplicabilidade” refere-se a uma declaração documentada que
descreve:

Answer 44

os objetivos de controle e controles que são pertinentes e aplicáveis ao
Sistema de Gestão de Segurança da Informação da organização.

Question 45

Certo ou errado?

A declaração de aplicabilidade é um documento que
deve detalhar os objetivos de controle e os controles
a serem implementados para a segurança da
informação. Os demais controles e objetivos de
controle, não inclusos na declaração de
aplicabilidade, devem fazer parte do documento de
análise de GAP.

Answer 45

Errado, pois todos os controles estão na Norma.

Question 46

Entre as atividades para se estabelecer um SGSI, conforme a norma
ABNT NBR ISO/IEC 27.001, inclui-se a:

Answer 46

definição de escopo e limites do SGSI.

Question 47

Segundo a norma ABNT 27001, os sistemas de gestão de
segurança da informação (SGSI) devem estabelecer programas de
conscientização e treinamento em segurança no processo de:

Answer 47

implementar e operar o SGSI.

Question 48

Estabelecer a política, objetivos, processos e procedimentos
do SGSI, relevantes para a gestão de riscos e a melhoria da
segurança da informação para produzir resultados de acordo
com as políticas e objetivos globais de uma organização. No
modelo PDCA aplicado aos processos do SGSI da NBR
ISO/IEC 27001, esta definição pertence a:

Answer 48

planejar

Question 49

Certo ou errado?

A organização deve fazer análises críticas com o
objetivo de identificar tentativas e violações de
segurança bem-sucedidas, sendo esta uma
atividade verificada na fase check (checar).

Answer 49

Certo!

Question 50

Certo ou errado?

O arcabouço de organização dos requisitos da
norma NBR ISO/IEC 27001 deriva da família de
normas ISO 9000, especialmente no que se refere à
gestão de documentação.

Answer 50

Certo!

Question 51

Certo ou errado?

Com relação às normas ABNT NBR ISO/IEC 27001
e 27002, julgue os itens a seguir.

Deve ser incluída na documentação do sistema de
gestão de segurança da informação a identificação dos
colaboradores da empresa.

Answer 51

Errado!

Question 52

Certo ou errado?

A documentação de um SGSI é um item de grande
importância no processo, pois contém informações
sobre todo o processo. Essa documentação é
composta, entre outras, pela declaração da política
e dos objetivos do SGSI, de seu escopo e dos
procedimentos e controles que apóiam o SGSI

Answer 52

Certo!

Question 53

Para a NBR ISO/IEC 27001:2006, tem-se que um
documento da política de segurança da informação
deve ser aprovado pela direção, publicado e
comunicado para todos os funcionários e partes
externas relevantes. Isto é um(uma):

Answer 53

Controle

Question 54

Na NBR ISO/IEC 27002:2005, afirma-se que convém
que o responsável por assegurar que as informações e
os ativos associados com os recursos de
processamento da informação estejam
adequadamente classificados seja o:

Answer 54

Proprietário do Ativo.

Question 55

O diretor de uma loja de departamentos contratou uma empresa para desenvolver um projeto de segurança para sua loja virtual. Uma das fases desse processo é determinar quem e quais as funções que irão representar dentro do projeto. Nesse contexto, conclui-se que a loja virtual representa, dentro do projeto, o:

Answer 55

usuário

Question 56

As Normas ISO são um conjunto de regras internacionais que auxiliam as empresas na gestão qualitativa de seus negócios. Para uma empresa se enquadrar dentro da Norma ISO 27002:2005, é preciso um amplo plano de segurança das informações. Um dos requisitos desta Norma é que as atividades essenciais de segurança assegurem, entre outras premissas para a obtenção da certificação ISO, a:

Answer 56

competitividade

Question 57

As políticas de segurança da informação devem ser definidas pela equipe de segurança e estar alinhadas com os demais departamentos da empresa. Antes de definir as regras e as políticas de segurança, é preciso determinar, em relação ao projeto de segurança a ser implementado, a(o):

Answer 57

escopo, as prioridades e os objetos alvo de proteção.

Question 58

Ao contratar uma empresa de tecnologia para criar novo software visando à otimização de seus negócios, a organização contratante exigiu que o software fosse desenvolvido de acordo com as regras definidas para a segurança da informação, porque uma boa política de segurança, entre outras normas, estabelece:

Answer 58

os princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos computacionais.

Question 59

Uma forma de se evitar fraudes através de ataques conhecidos
por man-in-the-middle é certificar-se que, quando acessar um site
seguro (Exemplo: Bancos, Lojas de compras, etc) o navegador:

Answer 59

apresente o cadeado fechado (obtenção da aprovação da

certificadora digital).

Question 60

Certo ou errado?

A técnica de spoofing é normalmente utilizada na fase de invasão
a redes de computadores.

Answer 60

Errada!

Question 61

Certo ou errado?

Utilizado para a captura ilegal de informações de uma máquina
em rede, o spoofing analisa o tráfego da rede e coleta dados
sigilosos como senhas e endereços IPs.

Answer 61

Errado, esse é o Sniffing

Question 62

Em um ataque efetuado a roteadores de filtragem de pacotes, o
intruso transmite pacotes vindos de fora com um campo de
endereço IP de origem contendo o endereço de um host interno.
O atacante espera que o uso desse campo de endereço permita
a penetração de sistemas que empregam segurança simples do
endereço de origem, em que os pacotes de hosts internos
confiáveis específicos são aceitos.
O ataque descrito é conhecido como:

Answer 62

IP spoofing

Question 63

Esse ataque caracteriza o de força bruta?

A repetição automática de tentativas de acesso a um recurso
protegido, com senhas criadas a partir de combinações
aleatórias ou extraídas de listas prédefinidas.

Answer 63

Sim!

Question 64

Certo ou errado?

Um ataque de negação de serviço (DoS) não é uma invasão
do sistema e objetiva tornar os recursos de um sistema
indisponíveis para seus utilizadores. O ataque tenta
indisponibilizar páginas hospedadas em servidores web e
produz como efeito uma invalidação por sobrecarga.

Answer 64

Certo!

Question 65

Um conjunto de computadores está sendo utilizado para tirar
de operação um serviço de determinado órgão público. Essa
situação configura o ataque do tipo:

Answer 65

DDoS

Question 66

Ataques desse tipo buscam explorar a falta de tratamento dos
dados de uma entrada do sistema. Desta maneira tenta-se injetar
strings maiores que as permitidas com o objetivo de invadir
certas áreas da memória. Este ataque permite inclusive injetar
aplicações na máquina invadida, como backdoors, trojans e
sistemas de controle remoto, como o VNC.
O texto fala do ataque de:

Answer 66

Buffer Overflow.

Question 67

Certo ou errado?

Vírus é um programa de computador malicioso capaz de se
propagar automaticamente por meio de redes, mas necessita ser
explicitamente executado para se propagar.

Answer 67

Certo

Question 68

Certo ou errado?

Um worm pode realizar diversas funções maliciosas, como a
instalação de keyloggers ou screenloggers, o furto de senhas e
outras informações sensíveis, como números de cartões de
crédito, a inclusão de backdoors, para permitir que um atacante
tenha total controle sobre o computador, e a alteração ou
destruição de arquivos.

Answer 68

Errado.

Question 69

Qual a principal diferença entre Worm e Vírus?

Answer 69

O Worm se alastra sozinho, enquanto o Vírus anexa-se ao
arquivo e necessita que o usuário ou sistema realize algum
tipo de transporte deste arquivo para disseminá-lo.

Question 70

Certo ou errado?

Worms são programas que se espalham em uma rede, criam
cópias funcionais de si mesmo e infectam outros computadores.

Answer 70

Certo!

Question 71

Certo ou errado?

A “oportunidade de atacar sistemas em tempo real e de utilizar a
capacidade ociosa de máquinas contaminadas” para ataques,
conforme referido no texto, pode ser explorada utilizando-se
botnets, que são aplicativos de controle de computadores
utilizados por criminosos virtuais.

Answer 71

Certo!

Question 72

No dia 06 de agosto de 2009, o site Twitter ficou algumas horas fora do ar, após ser atingido por
uma série de ataques de hackers, caracterizados por tentativas de derrubar o tráfego de rede, em
que servidores são inundados por solicitações até saírem do ar, por esgotamento da capacidade
de processamento. Um especialista em segurança da empresa Sophos creditou o ataque a
algum hacker adolescente em seu quarto com acesso a uma enorme botnet.
Cabe esclarecer que botnets são redes de computadores “zumbis”, infectadas por códigos
maliciosos, utilizados por hackers no tipo de ataque acima mencionado.
As máquinas funcionam normalmente até o hacker enviar um comando remoto ordenando que
todas acessem um site ao mesmo tempo, tirando-o do ar por excesso de tráfego.
Esse tipo de ataque é conhecido pelo termo técnico:

Answer 72

Negação de Serviço

Question 73

É um programa capaz de se propagar automaticamente, explorando vulnerabilidades
existentes ou falhas na configuração de softwares instalados em um computador. Dispõe de
mecanismos de comunicação com o invasor, permitindo ser controlado remotamente. Tais
são as caracterísitcas do:

Answer 73

bot

Question 74

Certo ou errado?

No phishing, diversas máquinas zumbis comandadas por um mestre fazem requisições ao
mesmo tempo, gerando sobrecarga do recurso atacado, o que pode levar a máquina
servidora a reiniciar ou a travar.

Answer 74

Errado, isso é DoS.

Question 75

De tempos em tempos, observa-se na imprensa que sites ficam inoperantes. Os ataques
conseguem derrubar o tráfego de rede, inundados por solicitações até saírem do ar, por
esgotamento da capacidade de processamento.
Os especialistas em segurança de redes e na internet creditam os ataques a algum hacker que
utiliza as chamadas botnets, definidas como redes de computadores infectadas por códigos
maliciosos.
Nesses casos, as máquinas funcionam normalmente até que o hacker envie um comando remoto
ordenando que todas acessem um site ao mesmo tempo, tirando-o do ar por excesso de tráfego.
Esse tipo de ataque é conhecido pelo termo técnico:

Answer 75

Negação de Serviço.

Question 76

Um usuário instalou, em determinada livraria que oferece acesso público
à Internet por meio de computadores Windows, um keylogger em um
dos computadores. Isso significa que:

Answer 76

estarão comprometidas as senhas digitadas por usuários nesse

computador.

Question 77

Certo ou errado?

Programas maliciosos do tipo RootKits são os mais perigosos,
principalmente para usuários de Internet Banking, pois esses programas
têm a função de capturar as teclas digitadas no computador.

Answer 77

Errado, isso é conceito de Keylogger.

Question 78

Conforme as normas e melhores práticas de Segurança
da Informação, uma ou mais pessoas podem ter responsabilidades
definidas pela Segurança da Informação e
elas podem delegar a outros usuários as tarefas dessa
segurança.
Em relação a essa situação, as normas e melhores práticas
de Segurança da Informação recomendam que:

Answer 78

os responsáveis originais permanecem com a responsabilidade
sobre as tarefas e devem verificar a execução
delas.

Question 79

A rede de telecomunicação segura que utiliza a Internet como
sua principal estrutura (backbone), mas se baseia em seus
próprios dispositivos de proteção (firewalls) e de segurança de
suas conexões de Internet e de intranet e nos dispositivos de
proteção das organizações participantes, é conhecida como:

Answer 79

Virtual Private Network - VPN.

Question 80

Certo ou errado?

A respeito do uso da tecnologia MPLS em situações nas quais se
requer engenharia de tráfego, bem como o uso de VPN, julgue os
itens a seguir.

Na tabela de informações de VPN de camada 3, conhecida
como virtual routing and forwarding (VRF), registram-se dados
de prefixo IP. Em geral, as VRF são tabelas de roteamento
dedicadas.

Answer 80

Certo!

Question 81

Certo ou errado?

Algumas técnicas de construção de túneis, nas quais se adota o
conceito de redes privadas, utilizam MPLS. Acerca dessas
técnicas, julgue os itens a seguir.

Considera-se VPN MPLS uma tecnologia orientada a conexão,
de acordo com os modelos comuns de VPN.

Answer 81

Errado, não é orientado a conexão!

Question 82

Certo ou errado?

Uma VPN é uma conexão estabelecida sobre uma infraestrutura
pública ou compartilhada, usando tecnologias de tunelamento e
criptografia para manter seguros os dados trafegados.

Answer 82

Certo!

Question 83

Certo ou errado?

O recurso VPN (virtual private network), utilizado para interligar
de forma segura dois pontos através de um meio público como a
Internet, pode fazer uso de IPSEC, que recorre ao ESP
(encapsulating security payload) para manter a confidencialidade
dos dados e à AH (authentication header) para garantir a
integridade dos dados.

Answer 83

Certo!

Question 84

Certo ou errado?

O IPSEC é muito utilizado para o estabelecimento de VPN (virtual
private network), pois consegue agregar recursos de
confidencialidade ao IP (Internet protocol), utilizando o ESP
(encapsulation security payload). Para o provimento de
integridade dos dados, utiliza o IKE (Internet key exchange).

Answer 84

Errado!

Question 85

Certo ou errado?

Uma rede privada virtual: envia dados através da Internet, mas criptografa
transmissões entre sites para garantir privacidade.

Answer 85

Certo!

Question 86

O Backup de dados e das informações de um computador deve ser realizado considerando as
particularidades do uso dos arquivos. Considerando que já foi realizado um Backup normal de uma pasta no
início de um dia, a forma mais eficiente e rápida para realizar o Backup dos arquivos modificados daquela
pasta, no mesmo dia, é por meio do Backup:

Answer 86

diferencial.

Question 87

A restauração de dados pode utilizar diferentes tipos de
backup, tais como diferencial, incremental e completo.
A esse respeito, considere as afirmações a seguir.

I - O backup incremental exige que antes seja realizado
pelo menos um backup diferencial.

II - Os backups completo e diferencial, em uso combinado,
exigem apenas os conjuntos de backups diferenciais
realizados desde o último backup completo.

III - Os backups completo e incremental, em uso combinado,
exigem o último backup completo e todos os
conjuntos de backups incrementais realizados desde
o último backup completo.
Está correto APENAS o que se afirma em:

Answer 87

Somente III.

Question 88

Sobre criptografia, considere:

I. A criptografia simétrica é um tipo de criptografia que usa um par de chaves criptográficas distintas
(privada e pública) e matematicamente relacionadas.

II. A criptografia assimétrica é um tipo de criptografia que usa uma chave única para cifrar e decifrar
dados.

III. A chave pública está disponível para todos que queiram cifrar informações para o dono da chave
privada ou para verificação de uma assinatura digital criada com a chave privada correspondente; a chave
privada é mantida em segredo pelo seu dono e pode decifrar informações ou gerar assinaturas digitais.

Está correto o que se afirma em:

Answer 88

III somente

Question 89

Para garantir o sigilo em uma comunicação, um emissor pode enviar uma mensagem
criptografada com um algoritmo de criptografia simétrica.
Para que o receptor possa decifrar essa mensagem, é necessário obter a chave:

Answer 89

secreta do emissor que foi utilizada pelo algoritmo para cifrar a mensagem.

Question 90

Na NBR ISO/IEC 27002:2005, afirma-se que convém que o responsável por assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam adequadamente classificados seja o:

Answer 90

Proprietário do ativo

Question 91

Certo ou errado?

O objetivo de controle Controles de Entrada Física estabelece que perímetros de segurança (barreiras, como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) devem ser utilizados para proteger as áreas que contenham informações e recursos de processamento da informação.

Answer 91

Errado, isso é o controle e não o objetivo do controle. Além disso, o controle descrito é o de perímetro.

Question 92

A Norma NBR ISO/IEC 27002:2005 recomenda que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridade permanentes. De acordo com a Norma, convém que seja levada em consideração, para a manutenção dos equipamentos, a seguinte diretriz:

Answer 92

Sejam mantidos registros de todas as falhas, suspeitas ou reais, e de todas as operações de manutenção preventiva e corretiva realizadas.

Question 93

Certo ou errado?

A segurança de equipamentos descartados da organização segue as recomendações de outras normas relativas à reciclagem de resíduos sólidos e, por isso, não está prevista em uma recomendação específica da norma 27002.

Answer 93

Errado, está na norma!

Question 94

Certo ou errado?

Para reaproveitar as mídias de armazenamento que contenham dados sensíveis, é suficiente formatá-las usando a função padrão de formatar.

Answer 94

Errado!

Question 95

Segundo a Norma 27002, o objetivo de garantir a operação segura e correta dos recursos de processamento da informação é atendido, dentre outros, pelo controle:

Answer 95

Segregação de funções

Question 96

Segundo a NBR/ISO 27002, o objetivo da proteção contra códigos maliciosos e códigos móveis é proteger a:

Answer 96

Integridade do software e da informação.

Question 97

Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser
exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de
segurança da informação. Com base nessa informação, analise os itens a seguir.

I. Computadores são vulneráveis por serem construídos para troca e armazenamento de
dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros.

II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques
aos ativos de informação.

III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos.

IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de
armazenamento.
Representam vulnerabilidades dos ativos de informação o que consta em:

Answer 97

I, III e IV.

Question 98

Certo ou errado?

Um funcionário desonesto é uma vulnerabilidade.

Answer 98

Errado, o funcionário desonesto é uma ameaça.

Question 99

O ataque de negação de serviço (DoS) é uma
tentativa de impedir que usuários legítimos de um
serviço possam utilizá-lo.
Uma forma clássica desse tipo de ataque é a(o):

Answer 99

inundação do alvo

Question 100

A auditoria da segurança da informação avalia a política de
segurança e os controles relacionados adotados em cada
organização. Nesse contexto, muitas vezes, as organizações não
se preocupam, ou até negligenciam, um aspecto básico da
segurança que é a localização dos equipamentos que podem
facilitar a intrusão. Na auditoria de segurança da informação, esse
aspecto é avaliado no Controle de:

Answer 100

acesso físico.

Question 101

Por política de segurança entende-se:

Answer 101

política elaborada, implantada e em contínuo processo de revisão, válida para toda a
organização, com regras o mais claro e simples possível, e estrutura gerencial e material de
suporte a essa política, claramente sustentada pela alta hierarquia.

Question 102

As políticas, normas e procedimentos de segurança da informação:

Answer 102

devem estar alinhadas com as estratégias de negócio da empresa,
padrões e procedimentos já existentes.

Question 103

Muitas empresas desenvolvem seus próprios códigos de ética, que podem ser considerados como um conjunto de princípios destinados a orientar a tomada de decisão na organização. A disseminação do uso da TI e de suas aplicações, incluindo os sistemas de informação, criou diversos aspectos que devem ser considerados nesse contexto. Alguns autores estabelecem quatro categorias nas quais esses aspectos éticos podem ser classificados. Dentre essas categorias, encontram-se a privacidade e a acessibilidade.

Exemplos de aspectos a elas relacionados são, respectivamente:

Answer 103

vigilância eletrônica dos empregados e política de acesso à informação

Question 104

O que é risco?

Answer 104

Probabilidade de uma ameaça explorar uma
vulnerabilidade com potencial impacto no
negócio.

Question 105

O keylogger é um software que pode armazenar as informações digitadas por um usuário num computador por ele infectado. Para aumentar a proteção dos seus clientes, alguns bancos que prestam serviços via Internet utilizam a tecnologia do teclado virtual, com recursos que reduzem a probabilidade de sucesso desses softwares.

Nesse contexto, o software que armazena a posição do ponteiro do mouse no momento em que esse é acionado (clique) é, genericamente, conhecido como:

Answer 105

screenlogger

Question 106

Os requisitos de segurança da informação são identificados por meio de uma
análise/avaliação sistemática dos riscos estimados. Os gastos com os controles
precisam ser balanceados de acordo com os danos causados aos negócios gerados
pelas potenciais falhas na segurança da informação. É INCORRETO dizer que
convém que a análise/avaliação de riscos:

Answer 106

defina os critérios para determinar se os riscos podem ser ou não aceitos. Riscos não podem
ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não
é economicamente viável para a organização.

Question 107

Um profissional de TI, diante da divulgação de inúmeras brechas de segurança da informação que existem, resolve buscar as melhores práticas de governança para o seu ambiente.

Dessa forma, para garantir a segurança da informação, ele deve buscar atender principalmente aos seguintes aspectos:

Answer 107

confidencialidade, integridade e disponibilidade

Question 108

Segundo a norma ISO 27002:2005, definir, alcançar, manter e melhorar são ações essenciais a serem tomadas na empresa pela:

Answer 108

gestão de segurança

Question 109

Considere as afirmativas a seguir sobre segurança da informação.

I Os softwares de segurança como firewalls e antivírus são o principal patrimônio de uma empresa, e os investimentos devem ser predominantes nesses produtos.

II O plano de segurança da informação tem que contemplar os aspectos legais da informação, tais como propriedade intelectual e política de privacidade, entre outros.

III O plano de segurança da informação é um processo que depende da visão estratégica do negócio e visa a proteger a rede interna de invasões indesejadas.

É correto APENAS o que se afirma em:

Answer 109

II e III.

Question 110

Para assegurar que o texto de sua mensagem não seja modificado antes de chegar ao destino, o responsável pela mensagem deve:

Answer 110

utilizar o recurso da assinatura digital.

Question 111

Considerados pragas digitais, os rootkits são malwares que, ao se instalarem no computador alvo:

Answer 111

camuflam a sua existência e fornecem acesso privilegiado ao computador infectado.

Question 112

Paulo autorizou uma despesa em seu cartão de crédito mediante a utilização de senha pessoal. Ao receber a cobrança, procurou a administradora do cartão e negou a despesa. A administradora manteve a cobrança, provando a irretratabilidade da ação realizada. Esse procedimento só foi possível porque, no contexto da segurança da informação e, em relação à transação, a administradora provou pelo menos sua:

Answer 112

autenticidade e integridade

Question 113

Conforme a NBR/ISO 27002, o objetivo da Política de Segurança da Informação é:

Answer 113

prover uma orientação e o apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

Question 114

A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida.

                                                          PORQUE

A interconexão de redes públicas e privadas e a tendência da computação distribuída aumentam a eficácia de um controle de acesso centralizado.

Analisando-se as afirmações acima, conclui-se que:

Answer 114

a primeira afirmação é verdadeira, e a segunda é falsa.

Question 115

Sobre segurança da informação, considere:

I. Ameaça: algo que possa provocar danos à segurança da informação, prejudicar
as ações da empresa e sua sustentação no negócio, mediante a exploração de
uma determinada vulnerabilidade.

II. Vulnerabilidade: é medida pela probabilidade de uma ameaça acontecer e o
dano potencial à empresa.

III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas
informações corrompidas.

Está correto o que se afirma APENAS em:

Answer 115

I apenas

Question 116

O processo de autenticação de usuários é um método eficaz para proteger o acesso indevido de pessoas a computadores, sistemas operacionais, softwares, redes e ambientes físicos. Um sistema que utiliza um processo de forte autenticação deve verificar algo que o usuário sabe, algo que ele possui e algo que ele é.

Para acessar o sistema, nessa ordem de verificação, um usuário legítimo deve fornecer os seguintes itens pessoais:

Answer 116

senha pessoal, token com a chave privada e digital

Question 117

Uma forma de monitorar os programas que são executados em uma estação de trabalho, com respeito à alocação não autorizada das portas de rede, é configurar adequadamente um guardião idealizado para essa tarefa conhecido como:

Answer 117

firewall pessoal

Question 118

Os worms (vermes) são códigos maliciosos que utilizam a rede como principal meio para replicação.

O tipo de worm que se mantém como uma cópia única de si mesmo em qualquer ponto no tempo enquanto se transfere para hosts vizinhos na rede é conhecido como:

Answer 118

Rabbit

Question 119

Certo ou errado?

A Norma NBR ISO/IEC 27001 estabelece o código de
prática para a gestão da segurança da informação e a
Norma NBR ISO/IEC 27002 trata dos requisitos dos
sistemas de gestão de segurança da informação.

Answer 119

Errado, os conceitos estão invertidos.

Question 120

Certo ou errado?

A definição de requerimentos e objetivos de segurança
na ISO 27001 cita que é necessário utilizar a norma ISO
27002, que trata de processos de negócios.

Answer 120

Errado, a 27002 trata das boas práticas de segurança da informação.

Question 121

A atividade de segurança da informação visa a proteger os valiosos recursos de informação de uma empresa através da seleção e aplicação de salvaguardas apropriadas, ajudando a atingir o objetivo do negócio ou sua missão.

Nesse sentido, um programa de proteção da informação efetivo deve:

Answer 121

ir além da área de TI e da área de protocolo de documentos da empresa.

Question 122

O processo de gerenciamento de risco se resume em identificar os riscos, avaliar a probabilidade dos riscos acontecerem e determinar os controles para:

Answer 122

reduzir os riscos identificados a um nível aceitável.

Question 123

Maria envia, por e-mail, um arquivo criptografado com determinado algoritmo simétrico para João. Em outro e-mail, Maria envia, para João, a chave utilizada pelo algoritmo simétrico. Um usuário malicioso obtém acesso de leitura aos dois e-mails enviados e, com isso:

Answer 123

pode decriptar o arquivo original a partir da chave capturada.

Question 124

Para interagir seguramente com determinados órgãos públicos federais, Maria adquiriu um certificado digital ICP-Brasil de pessoa física. Nesse certificado, NÃO consta a(o):

Answer 124

chave privada.

Question 125

A norma ISO 27001:2005 utiliza o modelo _______ de

melhoria para estruturar todos os processos do _______.

Answer 125

PDCA e SGSI.

Question 126

A norma ISO/IEC 27001:2006 trata:

Answer 126

do modelo conhecido como Plan-Do-Check-Act (PDCA), que é
adotado para estruturar todos os processos do sistema de
gerenciamento da segurança da informação.

Question 127

Implementar e operar a política, os controles, os
processos e os procedimentos do Sistema de
Gestão de Segurança da Informação, segundo a
norma ABNT 27001, são atividades associadas no
modelo PDCA à fase:

Answer 127

Do

Question 128

O escopo e os limites do Sistema de Gestão de Segurança da
Informação (SGSI) nos termos das características do negócio,
a organização, a sua localização, ativos e tecnologia,
incluindo detalhes e justificativas para quaisquer exclusões do
escopo, segundo a Norma 27001, devem ser definidos nas
fases:

Answer 128

Estabelecer e gerenciar o SGSI.

Question 129

Corresponde a qual fase do PDCA?

Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para
a gestão de riscos e a melhoria da segurança da informação, para produzir resultados de acordo
com as políticas e objetivos globais de uma organização.

Answer 129

Plan

Question 130

Corresponde a qual fase do PDCA?

Implementar e operar a política, controles, processos e procedimentos do SGSI.

Answer 130

Do

Question 131

Corresponde a qual fase do PDCA?

Avaliar e, quando aplicável, medir o desempenho de um processo frente à política,
objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela
direção.

Answer 131

Check

Question 132

Corresponde a qual fase do PDCA?

Executar as ações corretivas e preventivas, com base nos resultados da auditoria
interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a
melhoria contínua do SGSI.

Answer 132

Act

Question 133

A norma ABNT NBR ISO/IEC 27001:2006 cobre

organizações do tipo:

Answer 133

comerciais, governamentais e sem fins

lucrativos.

Question 134

Certo ou errado?

O termo de confidencialidade, de acordo com norma
NBR ISO/IEC, representa a propriedade de
salvaguarda da exatidão e completude de ativos.

Answer 134

Errado, isso é a integridade!

Question 135

O certificado digital emitido por uma Autoridade Certificadora (AC) visa a atestar a associação entre uma chave pública e uma entidade
ou pessoa. Dentre as etapas do processo de validação de um certificado
digital, deve-se verificar se a assinatura digital do certificado:

Answer 135

foi realmente gerada pela AC.

Question 136

Em uma empresa, instalou-se um sistema de certificado digital baseado em uma infraestrutura de
chave pública. Ao configurar uma autoridade certificadora (AC) de uma hierarquia de certificação,
houve um problema de relacionamento entre uma entidade e a sua chave pública, embutida no
certificado, pois a mesma apresentou incorreções, visto que, no caso, houve uma mudança do
nome do emissor.
Uma forma válida de se resolver essa situação seria fazer esse certificado ser:

Answer 136

revogado

Question 137

No que se refere às responsabilidades da direção descritas na norma ISO/IEC 27001:2006, analise:

I. A direção deve fornecer evidência do seu comprometimento com o estabelecimento,
implementação, operação, monitoramento, análise crítica, manutenção e melhoria do Sistema de
Gestão da Segurança da Informação mediante a definição de critérios para aceitação de riscos e
dos níveis de riscos aceitáveis.

II. A organização deve determinar e prover os recursos necessários para assegurar que os
procedimentos de segurança da informação apoiem os requisitos de negócio.

III. A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas
no Sistema de Gestão da Segurança da Informação seja competente para desempenhar as tarefas
requeridas, avaliando a eficácia das ações executadas.

IV. A organização deve determinar e prover os recursos necessários para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão da Segurança da
Informação.

Está correto o que consta em:

Answer 137

Todas estão corretas!

Question 138

A direção deve analisar criticamente o Sistema de Gestão da
Segurança da Informação (SGSI) da organização a intervalos
planejados para assegurar a sua contínua pertinência, adequação e
eficácia. Uma das saídas desta análise crítica, segundo a Norma
ABNT NBR ISO/IEC 27001:2006, deve incluir quaisquer decisões e
ações relacionadas à modificação de procedimentos e controles que
afetem a segurança da informação, quando necessário, para
responder a eventos internos ou externos que possam impactar no
SGSI.

Esta saída NÃO inclui mudanças de:

Answer 138

recursos humanos.

Question 139

Certo ou errado?

A análise crítica e periódica da política de segurança
da informação de uma organização, conforme
preconizada pelas normas NBR ISO/IEC 27001 e
NBR ISO/IEC 17799, deve ser uma ação de
responsabilidade dos gestores de segurança dessa
organização.

Answer 139

Errado, é feito pela Direção e não pelos gestores de segurança.

Question 140

Certo ou errado?

No que se refere a políticas de segurança da
informação, julgue o item a seguir.

A elaboração, manutenção e análise crítica da política de
segurança da informação competem exclusivamente ao
security officer da área de tecnologia da informação da
organização.

Answer 140

Errado, isso é papel da Direção!

Question 141

Certo ou errado?

A melhoria contínua do SGSI, assim como a análise
crítica de sua implementação, faz parte da etapa DO
(fazer) do PDCA aplicado ao processo.

Answer 141

Errado, a melhoria contínua faz parte da etapa Act e a análise critica faz parte da etapa check.

Question 142

Certo ou errado?

No do (fazer) do modelo PDCA aplicado aos
processos do SGSI (sistema de gestão de
segurança da informação), para se alcançar a
melhoria contínua, é necessário executar as ações
corretivas e preventivas, com base nos resultados
da auditoria interna, da análise crítica realizada pela
direção ou de outra informação pertinente.

Answer 142

Errado, a fase é a Act.

Question 143

No âmbito do Sistema de Gestão de Segurança da Informação - SGSI, o
procedimento: Monitorar e analisar criticamente o SGSI, recomenda:

I. Realizar análises críticas regulares da eficácia do SGSI
independente dos resultados de auditorias de segurança da
informação.

II. Medir a eficácia dos controles para verificar que os requisitos de
segurança da informação foram atendidos.

III. Conduzir auditorias internas do SGSI a intervalos planejados.

Está INCORRETO o que consta APENAS em:

Answer 143

Item I.

Question 144

Certo ou errado?

Requisitos de segurança da informação podem ser
obtidos a partir da análise/avaliação dos riscos da
organização com base nos seus objetivos estratégicos; a
partir da legislação vigente; e, finalmente, a partir dos
requisitos do negócio para o processamento da
informação que a organização desenvolve para realizar
suas operações.

Answer 144

Certo!

Question 145

Certo ou errado?

Para a garantia de um nível de segurança mínimo, que evite a
concretização de ameaças em uma organização, é obrigatória
a implantação de todos os controles contidos na norma 27002,
conforme recomendação feita na ISO, independentemente do
tamanho e tipo de organização.

Answer 145

Errado, não é obrigatório a implantação de todos os controles!

Question 146

A Norma ISO/IEC 27002:2005 estabelece diretrizes e princípios
gerais para iniciar, implementar, manter e melhorar a gestão de
segurança da informação em uma organização.A Norma apresenta
alguns termos e definições, como os descritos abaixo:

I. forma de gerenciar o risco, incluindo políticas, procedimentos,
diretrizes, práticas ou estruturas organizacionais, que podem ser de
natureza administrativa, técnica, de gestão ou legal.

II. preservação da confidencialidade, da integridade e da
disponibilidade da informação; adicionalmente, outras propriedades,
tais como autenticidade, responsabilidade, não repúdio e
confiabilidade, podem também estar envolvidas.

III. é indicado por um simples evento ou por uma série de eventos de
segurança da informação indesejados ou inesperados, que tenham
uma grande probabilidade de comprometer as operações do negócio
e ameaçar a segurança da informação.

Os termos referenciados em I, II e III são,
respectivamente:

Answer 146

controle; segurança da informação; incidente de

segurança da informação.

Question 147

Na norma 27002, qual a definição de Política?

Answer 147

intenções e diretrizes globais formalmente expressas pela

direção

Question 148

Na norma 27002, qual a definição de Risco?

Answer 148

combinação da probabilidade de um evento e de suas

conseqüências

Question 149

Na norma 27002, qual a definição de gestão de riscos?

Answer 149

atividades coordenadas para direcionar e controlar uma

organização no que se refere a riscos

Question 150

Na norma 27002, qual a definição de ameaça?

Answer 150

causa potencial de um incidente indesejado, que pode

resultar em dano para um sistema ou organização

Question 151

Sobre a estrutura, objetivos e conceitos gerais da Norma NBR ISO/IEC 27002, é
correto afirmar:

Answer 151

Define política como sendo as intenções e diretrizes globais formalmente
expressas pela direção e define risco como sendo a combinação da probabilidade de
um evento e de suas consequências.

Question 152

De acordo com a NBR ISO/IEC 27002:

Answer 152

Convém que a análise/avaliação de riscos inclua um enfoque sistemático de
estimar a magnitude do risco (análise de riscos) e o processo de comparar
os riscos estimados contra os critérios de risco para determinar a
significância do risco (avaliação do risco).

Question 153

A empresa Consultores Financeiros, em conformidade com o
prescrito na NBR/ISO 27002, realiza, periodicamente, a análise
crítica da Política de Segurança da Informação da empresa. A Norma
sugere que as entradas para a análise crítica pela direção incluam
diversas informações, entre elas:

Answer 153

tendências relacionadas com as ameaças e vulnerabilidades.

Question 154

Na NBR ISO/IEC 27002:2005, com relação ao tempo de duração de
um Acordo de Confidencialidade, tem-se que:

Answer 154

pode durar indefinidamente.

Question 155

A Norma ISO 27002, ao tratar de comércio eletrônico, estabelece o objetivo garantir a segurança de serviços de comércio eletrônico e sua utilização segura. Estabelece, ainda, a conveniência de que as considerações de segurança da informação para comércio eletrônico incluam, entre outros, o seguinte item:

Answer 155

nível de confiança que cada parte requer na suposta identidade de outros, como, por exemplo, por meio de mecanismos de autenticação.

Question 156

Na gestão de incidentes de segurança da informação, de acordo com a norma ABNT NBR ISO/IEC 27.002, deve-se considerar que alguns procedimentos sejam estabelecidos de acordo com o evento ocorrido. Segundo essa norma, os eventos que demandam a criação de procedimentos para o seu tratamento incluem a:

Answer 156

Negação de serviço

Question 157

O que é ameaça?

Answer 157

É quando uma potencial violação de segurança, que existe quando há uma circunstância, ação ou evento que poderia violar a segurança e causar impacto.

Question 158

O que é um threat?

Answer 158

Uma threat é um possível ameaça que pode explorar uma vulnerabilidade.

Question 159

O que é um Ataque?

Answer 159

Violação da segurança a partir de uma ameaça inteligente, isto é, uma ação inteligente que é uma tentativa deliberada para burlar os mecanismos de segurança e violar a política de segurança.

Question 160

Uma forma de se evitar fraudes através de ataques conhecidos por man-in-the-middle é certificar-se que, quando acessar um site seguro (Exemplo: Bancos, Lojas de compras, etc) o navegador:

Answer 160

apresente o cadeado fechado (obtenção da aprovação da certificadora digital).

Question 161

Certo ou errado?

A técnica de spoofing é normalmente utilizada na fase de invasão a redes de computadores.

Answer 161

Errada! É difícil usar essa técnica para invasão pela dificuldade em continuar com a conexão estabelecida.

Question 162

Certo ou errado?

Utilizado para a captura ilegal de informações de uma máquina em rede, o spoofing analisa o tráfego da rede e coleta dados sigilosos como senhas e endereços IPs.

Answer 162

Errado, esse é o sniffer.

Question 163

Em um ataque efetuado a roteadores de filtragem de pacotes, o intruso transmite pacotes vindos de fora com um campo de endereço IP de origem contendo o endereço de um host interno. O atacante espera que o uso desse campo de endereço permita a penetração de sistemas que empregam segurança simples do endereço de origem, em que os pacotes de hosts internos confiáveis específicos são aceitos.

O ataque descrito é conhecido como:

Answer 163

IP Spoofing

Question 164

Das alternativas a seguir, assinale a única que contém eventos que caracterizam uma tentativa de ataque do tipo força bruta.

Answer 164

A repetição automática de tentativas de acesso a um recurso protegido, com senhas criadas a partir de combinações aleatórias ou extraídas de listas prédefinidas.

Question 165

Qual a diferença entre DoS e DDoS?

Answer 165

DoS: o ataque parte de uma única fonte.
DDoS: ataque de maneira coordenada.

Question 166

A rede de telecomunicação segura que utiliza a Internet como sua principal estrutura (backbone), mas se baseia em seus próprios dispositivos de proteção (firewalls) e de segurança de suas conexões de Internet e de intranet e nos dispositivos de proteção das organizações participantes, é conhecida como:

Answer 166

VPN

Question 167

Certo ou errado?

A respeito do uso da tecnologia MPLS em situações nas quais se requer engenharia de tráfego, bem como o uso de VPN, julgue os itens a seguir.

Na tabela de informações de VPN de camada 3, conhecida como virtual routing and forwarding (VRF), registram-se dados de prefixo IP. Em geral, as VRF são tabelas de roteamento dedicadas.

Answer 167

Certo!

Question 168

Certo ou errado?

Um ataque de negação de serviço (DoS) não é uma invasão
do sistema e objetiva tornar os recursos de um sistema
indisponíveis para seus utilizadores. O ataque tenta
indisponibilizar páginas hospedadas em servidores web e
produz como efeito uma invalidação por sobrecarga.

Answer 168

Certo!

Question 169

Um conjunto de computadores está sendo utilizado para tirar
de operação um serviço de determinado órgão público. Essa
situação configura o ataque do tipo:

Answer 169

DDoS

Question 170

Ataques desse tipo buscam explorar a falta de tratamento dos
dados de uma entrada do sistema. Desta maneira tenta-se injetar
strings maiores que as permitidas com o objetivo de invadir
certas áreas da memória. Este ataque permite inclusive injetar
aplicações na máquina invadida, como backdoors, trojans e
sistemas de controle remoto, como o VNC.

O texto fala do ataque de:

Answer 170

Buffer Overflow.

Question 171

Certo ou errado?

Um ataque de SQL injection explora vulnerabilidades presentes
em aplicações web, podendo ser evitado com inspeção criteriosa
dos dados de entrada.

Answer 171

Certo!

Question 172

A ameaça de segurança em que o atacante consegue inserir uma
série de instruções SQL dentro de uma consulta (query) através da
manipulação da entrada de dados de uma aplicação é conhecida
como:

Answer 172

SQL Injection

Question 173

Certo ou errado?

A injeção de SQL (SQL injection, relacionada à structured query
language - linguagem de consulta estruturada) é uma técnica de
injeção de código que explora a vulnerabilidade de segurança da
camada de banco de dados de uma aplicação. Quando se
consegue inserir uma ou mais instruções SQL dentro de uma
consulta, ocorre o fenômeno.

Answer 173

Certo!

Question 174

Em um ataque em que o Cracker injeta códigos JavaScript em
um campo texto de uma página Web já existente e este
JavaScript é apresentado para outros usuários, este JavaScript
poderia, por exemplo, simular a página de login do site, capturar
os valores digitados e enviá-los a um site que os armazene. Este
ataque é denominado:

Answer 174

XSS - Cross Site Scripting

Question 175

Certo ou errado?

Vírus é um programa de computador malicioso capaz de se
propagar automaticamente por meio de redes, mas necessita ser
explicitamente executado para se propagar.

Answer 175

Certo!

Question 176

Certo ou errado?

Um worm pode realizar diversas funções maliciosas, como a
instalação de keyloggers ou screenloggers, o furto de senhas e
outras informações sensíveis, como números de cartões de
crédito, a inclusão de backdoors, para permitir que um atacante
tenha total controle sobre o computador, e a alteração ou
destruição de arquivos.

Answer 176

Errado

Question 177

Qual a principal diferença entre Vírus e Worm?

Answer 177

O Worm se alastra sozinho, enquanto o Vírus anexa-se ao
arquivo e necessita que o usuário ou sistema realize algum
tipo de transporte deste arquivo para disseminá-lo.

Question 178

Certo ou errado?

Worms são programas que se espalham em uma rede, criam
cópias funcionais de si mesmo e infectam outros computadores.

Answer 178

Certo!

Question 179

Certo ou errado?

A “oportunidade de atacar sistemas em tempo real e de utilizar a
capacidade ociosa de máquinas contaminadas” para ataques,
conforme referido no texto, pode ser explorada utilizando-se
botnets, que são aplicativos de controle de computadores
utilizados por criminosos virtuais.

Answer 179

Certo!

Question 180

No dia 06 de agosto de 2009, o site Twitter ficou algumas horas fora do ar, após ser atingido por
uma série de ataques de hackers, caracterizados por tentativas de derrubar o tráfego de rede, em
que servidores são inundados por solicitações até saírem do ar, por esgotamento da capacidade
de processamento. Um especialista em segurança da empresa Sophos creditou o ataque a
algum hacker adolescente em seu quarto com acesso a uma enorme botnet.

Cabe esclarecer que botnets são redes de computadores “zumbis”, infectadas por códigos
maliciosos, utilizados por hackers no tipo de ataque acima mencionado.

As máquinas funcionam normalmente até o hacker enviar um comando remoto ordenando que
todas acessem um site ao mesmo tempo, tirando-o do ar por excesso de tráfego.

Esse tipo de ataque é conhecido pelo termo técnico:

Answer 180

Negação de Serviço

Question 181

De tempos em tempos, observa-se na imprensa que sites ficam inoperantes. Os ataques
conseguem derrubar o tráfego de rede, inundados por solicitações até saírem do ar, por
esgotamento da capacidade de processamento.
Os especialistas em segurança de redes e na internet creditam os ataques a algum hacker que
utiliza as chamadas botnets, definidas como redes de computadores infectadas por códigos
maliciosos.
Nesses casos, as máquinas funcionam normalmente até que o hacker envie um comando remoto
ordenando que todas acessem um site ao mesmo tempo, tirando-o do ar por excesso de tráfego.
Esse tipo de ataque é conhecido pelo termo técnico:

Answer 181

Negação de Serviço.

Question 182

Certo ou errado?

No phishing, diversas máquinas zumbis comandadas por um mestre fazem requisições ao
mesmo tempo, gerando sobrecarga do recurso atacado, o que pode levar a máquina
servidora a reiniciar ou a travar.

Answer 182

Errado!

Question 183

É um programa capaz de se propagar automaticamente, explorando vulnerabilidades
existentes ou falhas na configuração de softwares instalados em um computador. Dispõe de
mecanismos de comunicação com o invasor, permitindo ser controlado remotamente. Tais
são as caracterísitcas do:

Answer 183

Bot

Question 184

Sobre spyware é correto afirmar:

Answer 184

Screenlogger é um tipo de spyware capaz de armazenar a posição do cursor e a tela
apresentada no monitor nos momentos em que o mouse é clicado, ou a região que
circunda a posição onde o mouse é clicado. É bastante utilizado por atacantes para
capturar as teclas digitadas pelos usuários em teclados virtuais.

Question 185

Certo ou errado?

Embora sejam considerados programas espiões, os spywares também
são desenvolvidos por empresas com o objetivo de coletar legalmente
informações acessíveis de usuários.

Answer 185

Certo!

Question 186

Os programas keyloggers e screenloggers são considerados programas
do tipo:

Answer 186

Spyware

Question 187

Um usuário instalou, em determinada livraria que oferece acesso público
à Internet por meio de computadores Windows, um keylogger em um
dos computadores. Isso significa que:

Answer 187

estarão comprometidas as senhas digitadas por usuários nesse

computador.

Question 188

Certo ou errado?

Programas maliciosos do tipo RootKits são os mais perigosos,
principalmente para usuários de Internet Banking, pois esses programas
têm a função de capturar as teclas digitadas no computador.

Answer 188

Errado, é o keylogger.

Question 189

Programas do tipo malware que buscam se esconder dos
programas de segurança e assegurar a sua presença em um
computador comprometido são os:

Answer 189

rootkits

Question 190

Considerados pragas digitais, os rootkits são malwares que, ao
se instalarem no computador alvo:

Answer 190

camuflam a sua existência e fornecem acesso privilegiado ao

computador infectado.

Question 191

Foi um termo originalmente criado para descrever o tipo de fraude que
se dá através do envio, pela Internet, de mensagem não solicitada,
que se passa por comunicação de uma instituição conhecida, como
um banco, empresa ou site popular, e que procura induzir o acesso a
páginas fraudulentas (falsificadas), projetadas para furtar dados
pessoais e financeiros de usuários.

O termo citado acima é conhecido como:

Answer 191

phishing/scam.

Question 192

O site Convergência Digital divulgou a seguinte notícia: O Brasil segue como o nº 1 na
América Latina em atividades maliciosas e figura na 4ª posição mundial, ficando atrás
apenas dos EUA, China e Índia, de acordo a Symantec. Os ataques por malwares
cresceram 81%. … Um desses malwares segue sendo o grande vilão nas corporações,
sendo responsável por mais de 220 milhões de máquinas contaminadas no mundo. É
um programa capaz de se propagar automaticamente pelas redes, enviando cópias de
si mesmo de computador para computador.

Considerando que o malware citado como vilão não se propaga por meio da inclusão
de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução
direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em
programas instalados em computadores, trata-se de um:

Answer 192

worm.

Question 193

O que é adware?

Answer 193

programa que apresenta propaganda à revelia do usuário.

Question 194

O que é cavalo de tróia?

Answer 194

programa que se faz passar por outro programa com a finalidade de
enganar o usuário.

Question 195

O que é Keylogger?

Answer 195

programa que armazena os dados digitados pelo usuário para

posteriormente enviá-los a um terceiro.

Question 196

O que é Spyware?

Answer 196

programa que monitora as ações do usuário para posteriormente
enviá-las a um terceiro.