Juliana Jenny Kolb
Home > Simulados on-line > Questões de Concursos > Tecnologia da Informação (TI) > Segurança de TI
Teste 4: Segurança de TI
Questões extraídas de concursos públicos e/ou provas de certificação. Cada teste apresenta no máximo 30 questões.
Results
#1. (IBFC – EBSERH/2017) Para um típico ataque de negação de serviço (DDoS – Distributed Denial-of-Service) os crackers podem utilizar como estratégia o recurso técnico denominado:
#2. (CESPE – FUB/2016) Atualmente as aplicações de computadores estão sujeitas a ameaças que se apresentam de diferentes formas e com distintas consequências para os sistemas. Com referência a esse assunto, julgue o item subsequente. Diferentemente dos cavalos de troia, os spywares têm a finalidade de capturar informações em um computador, mas sem o objetivo de dominar tal computador nem de corromper o sistema.
#3. (FCM – IFF-RS/2016) Existe um tipo de programa malicioso que se disfarça de programa legítimo, normalmente sem a criação de réplicas, em que é aberta uma porta de comunicação (backdoor) não monitorada, permitindo o acesso, não autorizado, a arquivos e ao gerenciamento do computador da vítima. A prevenção para esse tipo de programa é ter sempre um bom software de antivírus, aliado a um firewall, além da troca frequente de senhas. Este tipo de programa malicioso é conhecido como
#4. (INSTITUTO AOCP – EBSERH/2016) Assinale a alternativa que apresenta o tipo de vírus de computador considerado mais prejudicial que os demais, devido a sua capacidade de se propagar sozinho e ampliar sua infecção para outros computadores.
#5. (CESPE – TCU/2015) Retenção é uma forma de tratamento do risco que visa implantar controles para se reduzirem os riscos a um nível aceitável pela organização. Na escolha dos controles, consideram-se os critérios da organização para a aceitação do risco, tais como requisitos legais, regulatórios, contratuais, culturais, ambientais e aspectos técnicos, além de custos e prazos para a implantação de controles.
#6. (FCC – TRT – 15ª Região/2015) Segundo a norma ISO 27001 de 2006, a Segurança da Informação é um conjunto de medidas que visam proteger e preservar informações e sistemas de informações, assegurando-lhes algumas qualidades, EXCETO a
#7. (FCC – TJ-AP/2014) Segundo a Norma ABNT NBR ISO/IEC 27001:2006, para prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização, podem ser aplicados diversos controles. O controle que NÃO está de acordo com o que descreve a Norma é
#8. (CESPE – ANTAQ/2014) Um sistema de gestão da segurança da informação (SGSI) estabelece, implementa, opera, monitora, mantém e melhora a segurança da informação da organização, ainda que não esteja voltado a aspectos como estrutura organizacional, políticas, procedimentos, processos e recursos. ? "SGSI: a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. NOTA: O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos. "
#9. (CESPE – ANATEL/2014) A norma NBR ISO/IEC 27001:2006 foi elaborada para prover um modelo de estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria do sistema de gestão de sistemas de informação (SGSI). Com relação a esse assunto, julgue os itens que se seguem. A referida norma adota o modelo de melhoria contínua PDCA, que apresenta as seguintes etapas: PLAN — estabelecer o SGSI; DO — implementar e operar o SGSI; CHECK — monitorar e analisar criticamente o SGSI; e ACT — manter e melhorar o SGSI ? "A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA ..."
#10. (CESPE – TCE-SC/2016) À luz das normas ISO/IEC 27001 e 27002, julgue os próximos itens, relativos à segurança da informação. Ao elaborar, manter, melhorar e implantar um sistema de gestão de segurança da informação, a organização deve considerar as características técnicas de seu negócio, e o SGSI (sistema de gestão de segurança da informação) deve ser documentado dentro do contexto de suas atividades operacionais, sem, contudo, envolver a direção da organização ? "A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI ..."
#11. (CESPE – CNJ/2013) De acordo com a norma ABNT NBR ISO/IEC 27001, informações publicamente disponibilizadas pela organização não requerem mecanismos de proteção para a sua visualização e modificação. ? "Informações publicamente disponíveis: A integridade das informações disponibilizadas em sistemas publicamente acessíveis deve ser protegida, para prevenir modificações não autorizadas. "
#12. (CESPE – TRE/RJ/2012) De acordo com o estabelecido na mencionada norma, a organização, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia da informação e a abordagem para a avaliação de riscos.
#13. (CESPE – BASA/2012) No que se refere aos objetivos de controle, contidos no Anexo A(normativo) ABNT NBR ISO/IEC 27001, julgue. A referida norma é explícita ao afirmar que, em razão de seu caráter privativo, as políticas e procedimentos de segurança de uma organização não podem ser expostos à opinião de outros, o que impossibilita contatos com grupos de interesses especiais ou ainda a promoção de fóruns especializados de segurança da informação e associações profissionais.
#14. (CESPE – BASA/2012) A violação da política de segurança da informação deve ser apurada por meio da aplicação de processo disciplinar formal: é o que estabelece o controle de processo disciplinar contido no grupo de controle de segurança em recursos humanos.
#15. (CESPE – TRE-MS/2013) Entre as atividades para se estabelecer um SGSI, conforme a norma ABNT NBR ISO/IEC 27.001, inclui-se a ? A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo; b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia ...; c) Definir a abordagem de análise/avaliação de riscos da organização; d) Identificar os riscos; e) Analisar e avaliar os riscos; f) Identificar e avaliar as opções para o tratamento de riscos; g) Selecionar objetivos de controle e controles para o tratamento de riscos; h) Obter aprovação da direção dos riscos residuais propostos; i) Obter autorização da direção para implementar e operar o SGSI; j) Preparar uma Declaração de Aplicabilidade.
#16. (CESPE – TRE-MS/2013) Com referência à responsabilidade por ativos de informação, a norma ABNT NBR ISO/IEC 27.001 estabelece que a identificação, a documentação e a implementação de regras para que seja autorizado o uso de informações associadas a recursos de processamento de informação devem ser orientadas pelo controle denominado ? "Uso aceitável dos ativos: Devem ser identificadas, documentadas e implementadas regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação. "
#17. (CESPE – TSJ/2015) Conforme disposto na norma ISO 27002, as senhas de acesso devem, necessariamente, ser de uso pessoal e individual bem como devem ser mantidas sob sigilo.
#18. (FGV – TCE-SE/2015) Com relação à norma ISO/IEC 27002:2013, está correto afirmar que:
#19. (CESPE – CGE-PI/2015) O objetivo principal da norma ISO/IEC 27002 é implantar um sistema de gestão da segurança da informação (SGSI). ? "Objetivo: ... estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização."
#20. (VUNESP – TCE-SP/2015) A norma NBR ISO/IEC 27002:2013 recomenda que seja feita a classificação das informações, proporcionando um nível adequado de proteção. Essa recomendação faz parte da etapa ou seção de ? "Gestão de ativos: alcançar e manter a proteção adequada dos ativos da organização."
#21. (FCC – TRE-RR/2015) Considere que um determinado Tribunal Regional Eleitoral esteja definindo uma forma de gerenciar riscos da infraestrutura de TI, incluindo a determinação de políticas, procedimentos, diretrizes, práticas e estruturas organizacionais para estabelecer proteções e contramedidas. De acordo com a Norma ISO/IEC 27002, essa definição para segurança da informação é denominada ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
“Controle: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.” </br> </br>
Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )
#22. (FCC – CNMP/2015) A Norma NBR ISO/IEC 27002:2005 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é ? Ativo intangível é um ativo não monetário identificável sem substância física (CPC, 04 R1). Já para Hoss et. al. (2010): Ativos intangíveis são incorpóreos representados por bens e direitos associados a uma organização.
#23. (FCC – TCM-GO/2015) A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002:2005 tem como objetivo apresentar recomendações para ? "assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil."
#24. (CESPE – TJ-SE/2014) Com base no disposto nas normas NBR ISO/IEC 27001 e 27002 e na ITIL (versão 3), julgue. O inventário de ativos refere-se a um controle incluído na interação com as partes externas à organização. ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
“Ativo: qualquer coisa que tenha valor PARA a organização.”
#25. (CESPE – TJ-SE/2014) No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002. Para que haja confiabilidade, o documento de política de segurança da informação deve permanecer inalterado ao longo do tempo.
#26. (CESPE – TCU/2015) As políticas de segurança da informação corporativas devem refletir os objetivos e princípios de segurança da organização que servirão como base para a aplicação de controles destinados a reduzir os riscos de fraudes e erros.
#27. (CESPE – TJ-SE/2014) No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002. O principal objetivo das políticas de segurança da informação é colaborar com a gestão da segurança da informação, orientando-a e apoiando-a administrativamente. ? "Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes."
#28. (CESPE – TJ-CE/2014) Com relação à segurança da informação, assinale a opção correta.
#29. (FGV – IBGE/2017) Um dos ataques mais difíceis de combater é o ataque distribuído de negação de serviço (DDoS), em razão da dificuldade de determinar as suas origens. Uma forma frequente de realizar esse ataque é por meio de: ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
Correto: </br>
Botnets: são computadores “zumbis”. Em suma, são computadores invadidos por um determinado cracker, que os transforma em um replicador de informações. Dessa forma torna-se mais difícil o rastreamento de computadores que geram spams e aumentam o alcance das mensagens propagadas ilegalmente. </br> </br>
Errado: </br>
Phishing: a palavra phishing traz o princípio de uma analogia criada pelos fraudadores, quando “iscas” (e-mails ou site) são utilizadas para “pescar” senhas e/ou dados financeiros. </br>
Ransomware: um tipo de malware que também é conhecido como “sequestrador”. Ele criptografa arquivos dos computadores e impede que eles voltem a ser usados, sendo decodificados apenas após o pagamento de resgates aos crackers responsáveis. </br>
Sniffer Attack/ Sniffing: tipo de ataque realizado por softwares que capturam pacotes de informações trocados em uma rede. Se os dados não forem criptografados, os ofensores podem ter acesso às conversas e outros logs registrados no computador atacado. </br>
Scanners: são softwares que varrem computadores e sites em busca de vulnerabilidades. </br> </br>
Para ler mais sobre o assunto, acesse: Ameaças e Métodos de Ataque ( )
#30. (FUNECE – UECE/2017) Mesmo com a tela bloqueada por senha, um computador pode ter o hash da senha do usuário roubado. Um ataque possível consiste em plugar numa porta USB da máquina um pendrive especial que irá se identificar como adaptador de rede sem fio. Dessa forma, ele pode monitorar a conexão com a Internet e assim enviar preciosas informações para um servidor malicioso. Atente ao que se diz a seguir a esse respeito: I. Versões do Windows e do Mac OS automaticamente instalam novos dispositivos USB assim que são conectados ao computador, ainda que este esteja bloqueado por senha. II. Isto é verdade para o Windows, pois seu algoritmo de senhas utiliza a função criptográfica MD5sum com hashes de 32 bits, mais inseguros que os hashes MD5 de 64 bits do Mac OS. III. Quando um computador está com a tela bloqueada por senha, ainda é possível haver tráfego de rede, o que vale tanto para o Windows como para o Mac OS. Está correto o que se afirma em
