Juliana Jenny Kolb
Home > Simulados on-line > Questões de Concursos > Tecnologia da Informação (TI) > Segurança de TI
Teste 2: Segurança de TI
Questões extraídas de concursos públicos e/ou provas de certificação. Cada teste apresenta no máximo 30 questões.
Results
#1. (CESPE – TRE-PI/2016) Considere que a equipe composta por quatro analistas de sistemas de um órgão do judiciário federal brasileiro deva desenvolver um plano de implantação da gerência de riscos de segurança da informação nesse órgão. Acerca das atividades que podem ser realizadas pela equipe, e considerando os conceitos de gerência de riscos, de classificação e controle dos ativos de informação, e a norma ISO/IEC 27005, é correto afirmar que essa equipe
#2. (CESPE – TRE-PI/2016) A equipe de analistas de segurança da informação de um órgão do judiciário federal participou de uma atividade de capacitação conduzida por uma empresa de consultoria em controle de acessos, tendo sido submetida a uma avaliação preliminar de seus conhecimentos sobre esse tema. A avaliação baseou-se em debate mediado pelos membros da consultoria, durante o qual os membros da equipe de segurança discutiram com os usuários de TI um conjunto de afirmações acerca da melhor forma de aprimorar o controle de acessos no órgão. Várias ponderações conduzidas pelos consultores eram deliberadamente errôneas, e algumas, verdadeiras. A equipe de analistas de segurança e os usuários de TI deveriam identificar as ponderações erradas e as verdadeiras. Considerando que as opções a seguir apresentam ponderações dos consultores, assinale a opção que apresenta ponderação correta, com base nos conceitos do controle de acessos e nas normas da ISO/IEC 27001, 27002 e 27005.
#3. (CESPE – TRE-PI/2016) Um inquérito administrativo foi aberto para a apuração de responsabilidades pelos impactos da paralisação das atividades de determinado órgão do Judiciário brasileiro, em decorrência de um desastre ocorrido na área de TI. Uma equipe, composta por pessoal interno ao órgão e por investigadores independentes, contratados para assessorar as investigações, inquiriu a equipe que atua na área de segurança da informação, entre outras pessoas, tendo realizado entrevistas, coletado evidências e apresentado pareceres sobre a fragilidade dos planos de continuidade de negócios do órgão, bem como sobre os controles de becape, tratamento de incidentes e problemas. Foram evidenciadas algumas falhas conceituais, tanto operacionais quanto estratégicas, entre várias outras evidências de comportamento consistente. Considerando essa situação e os conceitos de planos de continuidade de negócio, becape, recuperação de dados e tratamento de incidentes e problemas, assinale a opção que apresenta evidência de comportamento consistente.
#4. (CESPE – TRE-PI/2016) Considerando que um conjunto de malwares de computador tenha sido detectado no ambiente computacional de um órgão público do Judiciário brasileiro, assinale a opção correta.
#5. (CESPE – TRE-PI/2016) Considerando os conceitos de segurança de redes, ataques, malwares e monitoramento de tráfego, assinale a opção correta. ? engenharia social: este termo refere-se à exploração das falhas de segurança relativas à individuos. Um engenheiro social explora a confiança das pessoas para obter informações confidenciais e sigilosas. Além de ataques pela internet, outros meios são utilizados, como: ligações telefonicas e e-mails.
#6. (CESPE – TRE-PI/2016) No que se refere à criptografia, seus conceitos básicos, sistemas simétricos e assimétricos, certificação e assinatura digital, e protocolos criptográficos, assinale a opção correta.
#7. (CESPE – TRT – 8ª Região/2016) De acordo com a norma NBR ISO/IEC 27001, a organização deve definir uma política do SGSI que ? "A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. "
#8. Um Analista do TRT23 deve estabelecer o sistema de gestão de segurança do Tribunal baseado na norma ABNT NBR ISO/IEC 27001:2013. Na fase de planejamento, os objetivos de segurança devem ser ? "A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. "
#9. (FCC – TRT – 4ª REGIÃO (RS)/2015) Considere que um Analista do Tribunal Regional do Trabalho ficou com a tarefa de definir um processo de tratamento dos riscos de segurança da informação de acordo com a Norma NBR ISO/IEC 27001:2013. Uma ação correta é:
#10. (CESPE – MPOG/2015) Segundo a ISO 27001, os controles são classificados em três categorias: obrigatórios, como os documentos da política de segurança da informação; os mandatórios, como os perímetros de segurança física; e os desejáveis, entre os quais se incluem os acordos de confidencialidade.
#11. (CESPE – MPOG/2015) A ISO 27001 agrega controles tanto em relação à auditoria quanto à conformidade técnica. A primeira trata dos sistemas de informação a serem auditados, devendo as informações obtidas na auditoria e usadas para análise ser classificadas primeiramente com nível de confidencialidade. A segunda trata dos sistemas a serem periodicamente verificados quanto à sua conformidade com as normas de segurança da informação implementadas.
#12. (MSGás – MSGás/2015) A norma que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização é a:
#13. (CESPE – TCU/2015) De acordo com a NBR ISO/IEC 27001:2013, a organização deve estabelecer, implementar, manter e continuamente melhorar um sistema de gestão da segurança da informação (SGSI). A esse respeito, julgue o item subsequente. Entre os serviços proativos a serem prestados por um grupo de respostas a incidentes de segurança incluem-se a realização de tarefas de auditoria, a avaliação de vulnerabilidades e outras avaliações que visem identificar fraquezas ou vulnerabilidades nos sistemas antes que elas sejam exploradas.
#14. (CESPE – TCU/2015) De acordo com a NBR ISO/IEC 27001:2013, a organização deve estabelecer, implementar, manter e continuamente melhorar um sistema de gestão da segurança da informação (SGSI). A esse respeito, julgue o item subsequente. Na especificação e na implementação do SGSI, devem-se considerar as necessidades, os objetivos e os requisitos de segurança da organização, mas elas não devem ser influenciadas por seu tamanho nem por sua estrutura. ? "A ABNT NBR ISO/IEC 27.001 especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. "
#15. (FGV – IBGE/2016) Considere uma tabela hash com as seguintes características: 1. As chaves são as letras A,B,C,D,H.J,K,M,N,O,P,R,S,T,U; 2. A tabela possui 11 posições, referenciadas pelos índices de 0 até 10; 3. A função de hash é definida como hash(x)=posição(x) mod 11 onde x é a chave, e posição(x) é a posição da chave no alfabeto ABCDEFGHIJKLMNOPQRSTUVWXYZ, tal que posição(“A”) retorna 1 e posição(“Z”) retorna 26. Analise as afirmativas sobre a tabela após seu preenchimento com as chaves listadas acima. I. Nenhuma chave foi alocada à posição 6; II. A chave “K” foi alocada à posição zero; III. As chaves “B” e “N” colidiram na posição 3; IV. Apenas uma letra foi alocada à posição 9. Está correto somente o que se afirma em:
#16. (FAU – UNICENTRO – Câmara de Ibiporã- 2016) Em segurança da informação quando estamos falando sobre a condição em que um sistema de informações presta seus serviços com níveis de eficiência e eficácia aceitáveis, utilizamos o termo:
#17. (FAU – UNICENTRO – Câmara de Ibiporã- 2016) Do ponto de vista da segurança, malware são programas criados com o intuito de prejudicar usuários e sistemas de informação. Existem vários tipos de malware, aquele programa que armazena todas as informações que um usuário digitou em um micro infectado por ele é conhecido como: ? Keyloggers: capturam e armazenam as teclas digitadas no computador infectado. Assim, as informações de um e-mail ou senhas bancárias, por exemplo, correm riscos.
#18. (FAU – UNICENTRO – Câmara de Ibiporã- 2016) Com relação a segurança da informação o processo matemático para embaralhar uma mensagem digital, tornando sua leitura incompreensível por pessoas que não possuam a chave (código) para desembaralhar a mensagem é chamado de:
#19. (CESPE – SERPRO/2013) Regras para a utilização de acesso à Internet e a correio eletrônico integram as diretrizes para implementação do uso aceitável de ativos. ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
Versão 2013: </br>
13.2.1 Políticas e procedimentos para transferência de informações ( ) </br>
Convém que sejam considerados os controles para os requisitos e as possíveis implicações nos negócios, nos aspectos legais e na segurança, relacionadas com a troca eletrônica de dados, com o comércio eletrônico e com o correio eletrônico. </br> </br>
Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )
#20. (CESPE – SERPRO/2013) A estrutura de um plano de continuidade do negócio deve considerar a análise e identificação da causa de cada incidente.
#21. (CESPE – SERPRO/2013) A inclusão da segurança da informação no processo de gestão da continuidade do negócio deve agregar, como elemento-chave, testes e atualizações constantes dos planos e processos implantados. ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
Convém que a organização verifique se a sua continuidade da gestão da segurança da informação está:
a) testada e verificada a funcionalidade dos processos, procedimentos e controles da continuidade da segurança da informação para garantir que eles são consistentes com os objetivos da continuidade as segurança da informação;
b) testada e verificada quanto ao conhecimento e rotina para operar os procedimentos, processos e controles de continuidade da segurança da informação de modo a assegurar que o seu desempenho está consistente com os objetivos da continuidade da segurança da informação;
c) analisada criticamente quanto à validade e eficácia dos controles de continuidade da segurança da informação, quando os sistemas de informação, processos de segurança da informação, procedimentos e controles ou gestão da continuidade do negócio/gestão de recuperação de desastre e soluções de mudança. </br> </br>
Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )
#22. (CESPE – SERPRO/2013) Durante a auditoria de sistemas de informação, o auditor líder deve ter perfil de acesso com direito de leitura e escrita aos softwares e dados.
#23. (CESPE – SERPRO/2013) O documento de política de segurança da informação declara o comprometimento da alta direção da organização e descreve os requisitos de conscientização e treinamento em segurança da informação. ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
Versão 2005: </br>
… “Convém que o documento da política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação. ” … “requisitos de conscientização, treinamento e educação em segurança da informação.” … </br> </br>
Versão 2013: </br>
5.1.1 Políticas para segurança da informação </br>
Convém que no mais alto nível a organização defina uma política de segurança da informação, que seja aprovada pela direção e estabeleça a abordagem da organização para gerenciar os objetivos de segurança da informação. </br>
Convém que estas políticas sejam comunicadas aos funcionários e partes externas relevantes de forma que sejam entendidas, acessíveis e relevantes aos usuários pertinentes, por exemplo, no contexto de um programa de conscientização, educação e treinamento em segurança da informação. </br> </br>
Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )