30 Questões de Gestão de Segurança da Informação – de 1 a 10

GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Please wait while the activity loads.
If this activity does not load, try refreshing your browser. Also, this page requires javascript. Please visit using a browser with javascript enabled.

If loading fails, click here to try again

Iniciar

Parabéns - Você terminou GESTÃO DE SEGURANÇA DA INFORMAÇÃO. Você fez %%SCORE%% de %%TOTAL%%. Sua média é: %%RATING%%

Your answers are highlighted below.

Question 1

Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das opções abaixo não representa um exemplo de Ativo Intangível?

A	Qualidade do Serviço.
B	Marca de um Produto.
C	Imagem da Empresa no Mercado.
D	Confiabilidade de um Banco.
E	Sistema de Informação.

Question 2

O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de "Informação"?

A	Por si só não conduz a uma compreensão de determinado fato ou situação;
B	Pode habilitar a empresa a alcançar seus objetivos estratégicos;
C	É dado trabalhado, que permite ao executivo tomar decisões;
D	Possui valor e deve ser protegida;
E	É a matéria-prima para o processo administrativo da tomada de decisão;

Question 3

Com relação à afirmação "São as vulnerabilidades que permitem que as ameaças se concretizem" podemos dizer que:

A	A afirmativa é falsa.
B	A afirmativa é verdadeira.
C	A afirmativa é verdadeira somente para ameaças identificadas.
D	A afirmativa é verdadeira somente para vulnerabilidades físicas.
E	A afirmativa é verdadeira somente para vulnerabilidades lógicas.

Question 4

Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "auditores". Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo "auditores" acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à:

A	Privacidade
B	Confidencialidade;
C	Não-repúdio;
D	Integridade;
E	Disponibilidade;

Question 5

Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação relacionada à:

A	Não-Repúdio;
B	Autenticidade
C	Auditoria;
D	Integridade;
E	Confidencialidade;

Question 6

Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança?

A	Interna
B	Irrestrito
C	Secreta
D	Confidencial
E	Pública

Question 7

As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física:

A	Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
B	Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
C	Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários.
D	Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
E	Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).

Question 8

As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque?

A	Vulnerabilidade Mídia
B	Vulnerabilidade Comunicação
C	Vulnerabilidade de Software
D	Vulnerabilidade Física
E	Vulnerabilidade Natural

Question 9

Observe a figura acima e complete corretamente a legenda dos desenhos:

A	Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios
B	Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos
C	Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios
D	Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios
E	Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos

Question 10

As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classificadas como:

A	Globalizadas
B	Destrutivas
C	Voluntárias
D	Insconsequentes
E	Tecnológicas

Question 11

O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito é conhecido como:

A	exploit
B	backdoor
C	Keylogger
D	vírus
E	Spyware

Question 12

Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ?

A	Conhecida e Externa
B	Secreta e Oculta
C	Secreta e Externa
D	Interna e Oculta
E	Interna e Externa

Question 13

Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões?

A	Fraco
B	Secreto
C	Forte
D	Ativo
E	Passivo

Question 14

A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de:

A	SQL injection
B	Fragmentação de pacotes IP
C	Buffer Overflow
D	Fraggle
E	Smurf

Question 15

João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar?

A	Ip Spoofing
B	Port Scanning
C	SYN Flooding
D	Fraggle
E	Fragmentação de pacotes IP

Question 16

Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter":

A	Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças.
B	Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação.
C	Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões.
D	Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio.
E	Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco.

Question 17

Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da Informação:

A	Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos
B	Tudo aquilo que tem origem para causar algum tipo de erro nos ativos
C	Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos
D	Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes.
E	Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos

Question 18

Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco:

A	Risco tratado;
B	Risco real;
C	Risco residual;
D	Risco percebido;
E	Risco verdadeiro;

Question 19

A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança:

A	Segurança em Recursos Humanos.
B	Segurança dos Ativos.
C	Controle de Acesso.
D	Gerenciamento das Operações e Comunicações.
E	Segurança Física e do Ambiente.

Question 20

Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção?

A	Manuais.
B	Procedimentos.
C	Diretrizes.
D	Relatório Estratégico.
E	Normas.

Question 21

Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos:

A	Prevenção, proteção e reação
B	Integridade, confidencialidade e disponibilidade
C	Integridade, prevenção e proteção
D	Autenticidade, originalidade e abrangência
E	Flexibilidade, agilidade e conformidade

Question 22

A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ?

A	Preventiva
B	Recuperação
C	Reação
D	Correção
E	Limitação

Question 23

Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:

A	implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado.
B	implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI.
C	implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI.
D	implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado.
E	implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais.

Question 24

A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:

A	Corretivas e Correção.
B	Corrigidas e Preventivas.
C	Prevenção e Preventivas.
D	Corretivas e Preventivas.
E	Corretivas e Corrigidas.

Question 25

Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) esteja no nível mais alto da organização?

A	Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas.
B	Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas.
C	Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções inesperadas.
D	Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas.
E	Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções inesperadas.

Question 26

Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que:

A	As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas
B	As metas e objetivos definidos sejam comprometidos por interrupções inesperadas
C	As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas
D	As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas
E	As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas

Question 27

BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios.

A	Simples e Objetiva.
B	Estatística e Ordenada
C	Clara e Intelegível
D	Qualitativa e Quantitativa
E	Natural e Desordenada

Question 28

Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança?

A	ligado diretamente no roteador de borda
B	em uma subrede externa protegida por um proxy
C	na Zona Demilitarizada (DMZ) protegida
D	na rede interna da organização
E	na Zona Demilitarizada (DMZ) suja

Question 29

Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida:

A	A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
B	A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos.
C	A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.
D	A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos.
E	A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.

Question 30

O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de:

A	criptografar os dados enviados através do formulário para impedir que os mesmos sejam interceptados em curso.
B	controlar a expiração da sessão do usuário, caso o mesmo possua cookies desabilitados em seu navegador.
C	testar a aptidão visual do usuário para decidir sobre a folha de estilo CSS a ser utilizada nas páginas subseqüentes.
D	confirmar a identidade do usuário.
E	confirmar que o formulário está sendo preenchido por um usuário humano e não por um computador.