Compartilhando | Teste 6: Segurança de TI

#1. (IBFC – EBSERH/2016) Os Servidores Web possuem um número limitado de usuários que podem atender simultaneamente. Quando esse servidor é alvo de vários ataques simultâneos, e em grande número, faz com que o servidor não seja capaz de atender a mais nenhum pedido. Esse tipo de ataque é denominado pela sigla em inglês:

Snifers

Exploits

Worm

DDoS

BoT

#2. (COPS/UEL – FOMENTO-PR/2013) Há diferentes algoritmos de criptografia que podem ser utilizados para oferecer segurança nas comunicações em redes de computadores. Sobre os algoritmos de criptografia, considere as afirmativas a seguir.
I. O algoritmo DES (Data Encryption Standard) não é considerado seguro em sua forma original.
II. O algoritmo AES (Advanced Encryption Standard) é um algoritmo de chave simétrica.
III. O algoritmo RSA (Rivest, Shamir, Adleman) é um algoritmo de chave pública bastante seguro.
IV. Os algoritmos de criptografia de chave simétrica manipulam chaves públicas e privadas.
Assinale a alternativa correta.

Somente as afirmativas I e II são corretas.

Somente as afirmativas III e IV são corretas.

Somente as afirmativas II, III e IV são corretas.

Somente as afirmativas I e IV são corretas.

Somente as afirmativas I, II e III são corretas.

#3. (CESPE – TRE-PI/2016) Considerando os conceitos de segurança de redes, ataques, malwares e monitoramento de tráfego, assinale a opção correta.

O payload de um malware é um programa de computador que captura indevidamente o tráfego de pacotes TCP/IP que circulam na rede.

Um ataque de engenharia social bem-sucedido constrói situações fictícias que manipulam psicologicamente uma pessoa, conduzindo-a a realizar ações indevidas.

Screenloggers são programas de computador que geram incidentes ou problemas de segurança na rede por meio da geração de alto consumo da sua banda.

Os ataques de spamming em geral são precedidos por ataques de phishing.

Um rootkit é um tipo de malware facilmente detectável pelos administradores de uma rede.

#4. (CESPE – TRE-MS/2013) Para prover evidências de conformidade aos requisitos do sistema de gestão de segurança da informação (SGSI), de acordo com a norma ABNT NBR ISO/IEC 27.001, deve-se

monitorar o SGSI.

melhorar o SGSI.

estabelecer o SGSI.

instituir programa de treinamento e conscientização dos analistas de sistemas.

controlar os registros.

#5. (CESPE – TRE-MS/2013) De acordo com a norma ABNT NBR ISO/IEC 27.001, a gestão da continuidade do negócio tem como objetivo evitar a interrupção de atividades e processos críticos para o negócio, razão por que, no âmbito dessa gestão, devem ser desenvolvidos planos que sejam testados e reavaliados sempre que necessário ou em intervalos de tempos determinados. Nesse sentido, uma mudança que pode provocar a atualização dos planos de continuidade do negócio de uma organização consiste

no treinamento de segurança do trabalho.

na alteração da localização das instalações físicas do centro de dados.

na troca de equipamento de refrigeração que tenha acarretado defeito das instalações físicas do centro de dados.

no treinamento em um sistema gerenciador de banco de dados.

na troca de extintores de incêndio das instalações físicas.

#6. (ESAF – DNIT/2013) Na NBR ISO/IEC 27001:2006, tem-se, com relação ao SGSI (Sistema de Gestão de Segurança da Informação), que a organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo: ? "A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA ..."

ISO/ABNT.

ABNT-SEG.

PIN-BK.

PDCA.

MPS.BR.

#7. (ESAF – DNIT/2013) Na NBR ISO/IEC 27001:2006, o processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco é o processo de:

Gerir riscos.

Analisar riscos.

Avaliar riscos.

Prever riscos.

Estimar risco residual.

#8. (CESPE – TRE-MS/2013) Com base na norma ABNT NBR ISO/IEC 27.001, para se garantir a confidencialidade da comunicação entre dois computadores, pode-se optar pelo uso de recursos de criptografia para aumentar o nível de segurança no tráfego de informações. Um dos objetivos associados à adoção desse tipo de controle é ? "Segurança dos serviços de rede: Características de segurança, níveis de serviço e requisitos de gerenciamento dos serviços de rede devem ser identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente como para terceirizados. "

o gerenciamento da segurança em redes.

a segurança de recursos humanos.

a segurança física e do ambiente.

a gestão de ativos.

a gestão de incidentes de segurança da informação.

#9. (ESAF – DNIT/2013) Na NBR ISO/IEC 27001:2006, o termo declaração de aplicabilidade refere-se a uma declaração documentada que descreve: ? "Uma Declaração de Aplicabilidade deve ser preparada, incluindo o seguinte: 1) Os objetivos de controle e os controles selecionados e as razões para sua seleção; 2) Os objetivos de controle e os controles atualmente implementados; 3) A exclusão de quaisquer objetivos de controle e controles e a justificativa para sua exclusão. "

os objetivos de controle e controles que são pertinentes e aplicáveis ao Sistema de Gestão de Segurança da Informação da organização.

a aplicabilidade dos mecanismos de análise de riscos à realidade da organização.

as políticas e as normas nacionais e internacionais que são pertinentes e aplicáveis ao Modelo de Gestão de Segurança da Informação da organização.

os processos, as práticas e os princípios que são pertinentes e aplicáveis ao framework de Segurança da Informação da organização.

as ferramentas e os mecanismos de gestão que são pertinentes e aplicáveis ao Modelo Integrado de Segurança da Informação da organização.

#10. (ESAF – DNIT/2013) Na NBR ISO/IEC 27001:2006, tem-se, com relação a ações preventivas, que a organização deve determinar ações para eliminar as causas de não-conformidades potenciais com os requisitos do SGSI (Sistema de Gestão de Segurança da Informação), de forma a evitar a sua ocorrência. As ações preventivas tomadas devem ser apropriadas aos impactos dos potenciais problemas e a prioridade das ações preventivas deve ser determinada com base nos resultados do(a):

Cronograma do Plano de Ações Preventivas.

Análise/avaliação de riscos.

Avaliação da capacitação da equipe.

Plano de gestão do conhecimento.

Parecer de viabilidade das ações preventivas.

#11. (CESPE – TRE-MS/2013) Com base na norma ABNT NBR ISO/IEC 27.001, o fato de uma organização manter computadores desligados ou com a tela travada quando estes não estiverem em uso e não manter papéis com senhas ou descrição de acesso a informações críticas em locais desprotegidos caracteriza a denominada política de mesa limpa e tela protegida. A adoção dessa política objetiva o controle de

gestão de incidentes de segurança da informação.

segurança de recursos humanos.

gestão da continuidade do negócio.

acessos.

aquisição, desenvolvimento e manutenção de sistemas de informação.

#12. (ESAF – DNIT/2013) Na NBR ISO/IEC 27001:2006, um dos controles da Infraestrutura de Segurança da Informação é:

Identificação dos riscos relacionados com partes externas.

Estruturação e manutenção do inventário dos ativos.

Análise crítica da Política de Segurança da Informação.

Classificação e tratamento da informação.

Identificação e análise crítica de acordos de confidencialidade.

#13. (CESPE – TL-AL/2012) Com base na NBR ISO/IEC n.º 27.001/2006, assinale a opção correta acerca de definições relacionadas à gestão de segurança da informação. ? "A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta."

Evento de segurança da informação é um evento (ou uma série de eventos) que ocorre de maneira indesejada ou inesperada, podendo comprometer as operações do negócio e ameaçar a segurança da informação.

O sistema de gestão da segurança da informação (SGSI), componente do sistema de gestão global que se fundamenta na abordagem de riscos do negócio, é responsável pelo estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoramento da segurança da informação.

Gestão de riscos consiste no processo de comparar o risco estimado com os critérios de risco predefinidos, a fim de determinar a importância do risco.

O incidente de segurança da informação consiste em um incidente que, caso seja identificado em um estado de sistema, serviço ou rede, indica a ocorrência de uma possível violação da política de segurança da informação, bem como de uma falha de controles ou de uma situação previamente desconhecida que possa ser relevante à segurança da informação

Confidencialidade corresponde à propriedade de classificar uma informação sigilosa como confidencial.

#14. (FCC – TJ-PE/2012) A eficácia dos controles para verificar se os requisitos de segurança da informação foram atendidos deve ser medida, no Sistema de Gestão de Segurança da Informação (SGSI), nas fases ? "Monitorar e analisar criticamente o SGSI - A organização deve: a) Executar procedimentos de monitoração e análise crítica e outros controles; b) Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas; c) Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos; d) Analisar criticamente as análises/avaliações de riscos a intervalos planejados e analisar criticamente os riscos Residuais e os níveis de riscos aceitáveis identificados, levando em consideração mudanças; e) Conduzir auditorias internas do SGSI a intervalos planejados; f) Realizar uma análise crítica do SGSI pela direção em bases regulares para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI; g) Atualizar os planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica; h) Registrar ações e eventos que possam ter um impacto na eficácia ou no desempenho do SGSI."

implementar e operar o SGSI.

manter e melhorar o SGSI.

monitorar e analisar criticamente o SGSI.

planejar e implantar o SGSI.

estabelecer e gerenciar o SGSI.

#15. (IF Sertão-PE – IF Sertão-PE/2017) Os dispositivos de armazenamento de dados e os sistemas operacionais estão cada vez mais confiáveis e seguros, mas nenhum sistema está livre de sinistros. Por isso, faz-se necessário o uso de políticas de cópia de segurança dos arquivos importantes, tendo em vista uma estratégia de backup eficiente. Analise as afirmativas sobre backup.
I. O backup diferencial somente salva os arquivos que foram modificados ou criados depois de um backup completo.
II. O backup incremental somente salva os arquivos que foram modificados depois do backup completo ou depois da última cópia diferencial. Dessa forma, a periodicidade do backup é reduzida.
III. Os fatores tempo de retenção dos dados, e rodízio das mídias, também devem ser levados em conta na política de backup.
IV. Estratégias de backup completo, normalmente, são pouco eficientes quando se leva em conta o volume de dados que pode ser gerado. Dessa forma, uma boa alternativa é uso do backup incremental ou diferencial.
Assinale a alternativa que corresponde à(s) afirmativa(s) correta(s):

I, II e IV

I, II e III

I e II

Somente I

I, III e IV

#16. (FCC – TRT-AM/2012)Segundo a norma ISO 27001, para se estabelecer o Sistema de Gestão de Segurança da Informação (SGSI), considere:
I. A organização deve definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer.
II. A organização deve definir a abordagem de análise/avaliação de riscos da organização e desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco.
III. Identificar e avaliar as opções para o tratamento de riscos, sendo uma possível ação aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos.
Está correto o que se afirma em

I e II, apenas.

II, apenas.

I, II e III.

III, apenas.

I e III, apenas.

#17. A norma que visa estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio da organização e os riscos que ela enfrenta é a:

ITIL v.3.

NBR ISO/IEC 27001:2006.

COBIT v.4.1.

NBR ISO/IEC 27005:2005.

NBR ISO/IEC 15999:2005.

#18. (FEPESE – JUCESC/2017 ) Quais das seções listadas abaixo constituem seções válidas da NBR ISO/IEC 27002:2005?
1. Segurança dos Recursos Humanos
2. Gestão de Ativos
3. Gestão dos Projetos de Segurança da Informação
4. Gestão da continuidade do negócio
Assinale a alternativa que indica todas as seções corretas.

São corretas apenas as seções 1, 2 e 3.

São corretas apenas as seções 2, 3 e 4.

São corretas as seções 1, 2, 3 e 4.

São corretas apenas as seções 1, 2 e 4.

São corretas apenas as seções 1, 3 e 4.

#19. (FCC – TCM-GO/2015) A Norma ABNT NBR ISO/IEC 27002:2005 contém 11 seções de controles de segurança da informação que, juntas, totalizam 39 categorias principais de segurança. Cada seção contém um número de categorias principais de segurança da informação e cada categoria principal de segurança da informação contém

um objetivo de controle que define o que deve ser alcançado e um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle.

uma introdução, uma ou mais recomendações de utilização, cuidados necessários na implementação dos controles de segurança da informação e casos de uso prático.

uma ou mais diretrizes para implementação dos controles de segurança da informação e metas e objetivos a serem alcançados para cada diretriz.

subcategorias relacionadas apresentando cada uma exemplos práticos de utilização dentro das organizações e os resultados obtidos.

um conjunto de recomendações testadas e comprovadas em empresas de todos os tamanhos e segmentos que vivenciaram problemas relacionados a riscos de segurança da informação.

#20. (CESPE – TJ-SE/2014) De acordo com a norma ISO/IEC n.º 27002:2005, é permitido que o administrador de sistemas suprima ou desative o registro (log) de suas próprias atividades em caso de falta de espaço em disco.

Verdadeiro

Falso

#21. (CESPE – TJ-SE/2014) Com base no disposto nas normas NBR ISO/IEC 27001 e 27002 e na ITIL (versão 3).
A política de segurança da informação, os objetivos e as atividades que refletem os objetivos do negócio são fatores críticos de sucesso na implementação da segurança da informação em uma organização. ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

Falso

Verdadeiro

Citado várias vezes na NBR ISO/IEC 27001 ( ).

#22. (IBFC – TJ-PE/2017) Considerando os conceitos de cópias de segurança, ficou-se em dúvida quanto ao atributo de arquivo ser marcado ou não. Os tipos de arquivos nos quais o atributo de arquivo é desmarcado são:

Backup Diferencial e o Backup Diário

Backup Incremental e o Backup Diferencial

Backup Diário e o Backup Normal

Backup Diferencial e o Backup Normal

Backup Incremental e o Backup Normal

#23. (CESPE – TRE-BA/2017) A política atual de becape de determinada organização consiste em um becape completo feito todos os domingos; e becapes incrementais realizados de segunda a sábado.
Considerando que, todos os dias, haja entrada de novos dados e que, também todos os dias, seja efetuado becape, assinale a opção correta acerca dessa situação hipotética.

Sob a referida política atual de becape, para a garantia da totalidade e da integridade dos arquivos em eventual operação de restauração, será obrigatório acrescentar à rotina um becape diferencial para cada becape incremental.

Se o becape incremental for substituído pelo becape diferencial, passar-se-á a ocupar menos espaço de memória a cada becape diário, mas o tempo de execução do restore será aumentado.

Caso se tivesse optado pelo becape diferencial em lugar do becape incremental e, nesse novo cenário hipotético, houvesse a necessidade de restaurar o becape até sexta-feira, bastaria, para isso, dispor dos arquivos completos e do dessa sexta-feira.

Caso, em determinada semana, seja necessário restaurar o becape até quinta-feira, será suficiente o becape da sexta-feira dessa mesma semana.

Se o becape incremental fosse substituído pelo becape completo, além da ocupação de menor espaço de memória a cada becape diário, a execução do restore seria mais rápida.

#24. (CESPE – TRE-TO/2017) Uma nova política de becape está sendo elaborada para uma organização na qual a ocupação total de armazenamento para becape tem-se mantido estável em torno de 6%. Nos períodos de maior pico, a rede usada para becape atinge 9% da banda reservada. Pela natureza dos serviços online oferecidos pela organização, espera-se que o tempo de recuperação de becape seja mínimo, a fim de garantir a maior disponibilidade possível dos serviços.
Nessa situação hipotética, a política mais eficiente e adequada às necessidades apresentadas, bem como aos recursos disponíveis, consiste em realizar becape full

anualmente, embora seja o mais demorado e o que requer maior espaço de armazenamento, além de realizar, diariamente, becape diferencial, que é mais rápido do que o becape full.

semestralmente, embora seja o mais demorado e utilize mais espaço de armazenamento, além de realizar, semanalmente, becape incremental, que é o mais rápido e não admite duplicidade de arquivos.

trimestralmente, pois oferece recuperação mais rápida, além de realizar, diariamente, becape incremental, que é o mais rápido, requer menor espaço de armazenamento e não admite duplicidade de arquivos.

mensalmente, pois oferece recuperação mais rápida, além de realizar, semanalmente, becape incremental, que requer menos espaço de armazenamento e é o mais rápido.

semanalmente, pois oferece recuperação mais rápida, além de realizar, diariamente, becape diferencial, que é de recuperação mais simples e mais rápida que os becapes incrementais.

#25. (FCC – ARTESP/2017) Considere, por hipótese, que a ARTESP utiliza uma estratégia de backup conforme mostra a figura abaixo, na qual a escala vertical representa a quantidade de dados.

A figura ilustra a estratégia de backup ..I.., que é semelhante a um backup ..II.. na primeira vez em que é realizado, na medida em que irá copiar todos os dados alterados desde o backup anterior. No entanto, cada vez que é executado após o primeiro backup, serão copiados todos os dados alterados desde o backup ..III.. anterior e não com relação ao último backup.
As lacunas I, II e III são preenchidas, correta e respectivamente, por

incremental − completo − completo

incremental − diferencial − diferencial

diferencial − completo − incremental

completo − diferencial − incremental

diferencial − incremental − completo

#26. (CESPE – TJ-SE/2014) No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002. Comprometimento e apoio visível dos colaboradores do nível gerencial fazem parte dos fatores críticos de sucesso para a implementação de segurança da informação dentro da organização.

Verdadeiro

Falso

#27. (FCJ – CIGA/2014) O que é um Certificado Digital?

É uma assinatura com validade jurídica.

É um documento feito no Word com XML.

É um documento de graduação em XML.

É uma validação por biometria.

#28. (FCC – TRT-24ª REGIÃO (MS)/2017) Um Técnico de Informática, ao acessar o site da organização para a qual trabalha, encontrou-o totalmente desfigurado, com o conteúdo das páginas alterado. Ao buscar razões para este tipo de ataque que viola a segurança das informações, verificou que um atacante, para desfigurar uma página web, pode:
− explorar erros da aplicação web;
− explorar vulnerabilidades do servidor de aplicação web;
− explorar vulnerabilidades da linguagem de programação ou dos pacotes utilizados no desenvolvimento da aplicação web;
− invadir o servidor onde a aplicação web está hospedada e alterar diretamente os arquivos que compõem o site;
− furtar senhas de acesso à interface web usada para administração remota.
O Técnico concluiu, corretamente, que este tipo de ataque é conhecido como ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

Defacement.

IP spoofing.

wardriving

engenharia social.

inundação UDP.

Correto: </br>

Defacement/deface: técnica que consiste na realização de modificações de conteúdo e estética de uma página da web. Um deface pode: </br>

− explorar erros da aplicação web;

− explorar vulnerabilidades do servidor de aplicação web;

− explorar vulnerabilidades da linguagem de programação ou dos pacotes utilizados no desenvolvimento da aplicação web;

− invadir o servidor onde a aplicação web está hospedada e alterar diretamente os arquivos que compõem o site;

− furtar senhas de acesso à interface web usada para administração remota. </br> </br>

Para ler mais sobre o assunto, acesse: Ameaças e Métodos de Ataque ( )

#29. (IBFC – EBSERH/2017) Trojan é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Em português, é também conhecido por

Vírus Infuenza

Spam

Cavalo de Troia

Ebola

Crazy Cow

#30. (CESPE – SEDF/2017) Situação hipotética: Uma organização realiza becape completo a cada 180 dias, becape incremental a cada 7 dias e realiza testes de recuperação total dos dados com restauração real do último becape a cada 45 dias. O último becape completo ocorreu há 64 dias e o último teste de recuperação total foi bem-sucedido. Assertiva: Nessa situação, se ocorrer, hoje, um desastre com o sistema de armazenamento, a organização poderá garantir, para efeitos de auditoria, que terá certeza de recuperar e restaurar os dados armazenados em becape até a data de 19 dias atrás.

Falso

Verdadeiro

Teste 6: Segurança de TI

Teste 6: Segurança de TI

Results

#3. (CESPE – TRE-PI/2016) Considerando os conceitos de segurança de redes, ataques, malwares e monitoramento de tráfego, assinale a opção correta.

#4. (CESPE – TRE-MS/2013) Para prover evidências de conformidade aos requisitos do sistema de gestão de segurança da informação (SGSI), de acordo com a norma ABNT NBR ISO/IEC 27.001, deve-se

#7. (ESAF – DNIT/2013) Na NBR ISO/IEC 27001:2006, o processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco é o processo de:

#12. (ESAF – DNIT/2013) Na NBR ISO/IEC 27001:2006, um dos controles da Infraestrutura de Segurança da Informação é:

#17. A norma que visa estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio da organização e os riscos que ela enfrenta é a:

#20. (CESPE – TJ-SE/2014) De acordo com a norma ISO/IEC n.º 27002:2005, é permitido que o administrador de sistemas suprima ou desative o registro (log) de suas próprias atividades em caso de falta de espaço em disco.

#22. (IBFC – TJ-PE/2017) Considerando os conceitos de cópias de segurança, ficou-se em dúvida quanto ao atributo de arquivo ser marcado ou não. Os tipos de arquivos nos quais o atributo de arquivo é desmarcado são:

#27. (FCJ – CIGA/2014) O que é um Certificado Digital?

#29. (IBFC – EBSERH/2017) Trojan é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Em português, é também conhecido por

Deixe uma resposta Cancelar resposta