Compartilhando | Teste 4: Segurança de TI

#1. (IBFC – EBSERH/2017) Para um típico ataque de negação de serviço (DDoS – Distributed Denial-of-Service) os crackers podem utilizar como estratégia o recurso técnico denominado:

spoofed

binding

botnet

netgear

scammer

#2. (CESPE – FUB/2016) Atualmente as aplicações de computadores estão sujeitas a ameaças que se apresentam de diferentes formas e com distintas consequências para os sistemas. Com referência a esse assunto, julgue o item subsequente.
Diferentemente dos cavalos de troia, os spywares têm a finalidade de capturar informações em um computador, mas sem o objetivo de dominar tal computador nem de corromper o sistema.

Verdadeiro

Falso

#3. (FCM – IFF-RS/2016) Existe um tipo de programa malicioso que se disfarça de programa legítimo, normalmente sem a criação de réplicas, em que é aberta uma porta de comunicação (backdoor) não monitorada, permitindo o acesso, não autorizado, a arquivos e ao gerenciamento do computador da vítima.
A prevenção para esse tipo de programa é ter sempre um bom software de antivírus, aliado a um firewall, além da troca frequente de senhas.
Este tipo de programa malicioso é conhecido como

Spam.

DDoS.

Vírus.

Worm.

Trojan horse.

#4. (INSTITUTO AOCP – EBSERH/2016) Assinale a alternativa que apresenta o tipo de vírus de computador considerado mais prejudicial que os demais, devido a sua capacidade de se propagar sozinho e ampliar sua infecção para outros computadores.

Boot.

Worm.

Trojan.

Macro.

Fix.

#5. (CESPE – TCU/2015) Retenção é uma forma de tratamento do risco que visa implantar controles para se reduzirem os riscos a um nível aceitável pela organização. Na escolha dos controles, consideram-se os critérios da organização para a aceitação do risco, tais como requisitos legais, regulatórios, contratuais, culturais, ambientais e aspectos técnicos, além de custos e prazos para a implantação de controles.

Verdadeiro

Falso

#6. (FCC – TRT – 15ª Região/2015) Segundo a norma ISO 27001 de 2006, a Segurança da Informação é um conjunto de medidas que visam proteger e preservar informações e sistemas de informações, assegurando-lhes algumas qualidades, EXCETO a

autenticidade.

disponibilidade.

compatibilidade.

irretratabilidade.

integridade.

#7. (FCC – TJ-AP/2014) Segundo a Norma ABNT NBR ISO/IEC 27001:2006, para prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização, podem ser aplicados diversos controles. O controle que NÃO está de acordo com o que descreve a Norma é

Devem ser utilizados perímetros de segurança para proteger as áreas que contenham informações e recursos de pro- cessamento da informação.

Pontos de acesso em que pessoas não autorizadas possam entrar nas instalações devem sempre ser isolados dos recursos de processamento da informação.

As áreas seguras devem ser protegidas por controles apropriados de entrada para assegurar que somente pessoas autori- zadas tenham acesso.

Deve ser projetada e aplicada proteção física, bem como diretrizes para o trabalho em áreas seguras.

Deve ser projetada e aplicada proteção física contra incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem.

#8. (CESPE – ANTAQ/2014) Um sistema de gestão da segurança da informação (SGSI) estabelece, implementa, opera, monitora, mantém e melhora a segurança da informação da organização, ainda que não esteja voltado a aspectos como estrutura organizacional, políticas, procedimentos, processos e recursos. ? "SGSI: a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. NOTA: O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos. "

Falso

Verdadeiro

#9. (CESPE – ANATEL/2014) A norma NBR ISO/IEC 27001:2006 foi elaborada para prover um modelo de estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria do sistema de gestão de sistemas de informação (SGSI). Com relação a esse assunto, julgue os itens que se seguem. A referida norma adota o modelo de melhoria contínua PDCA, que apresenta as seguintes etapas: PLAN — estabelecer o SGSI; DO — implementar e operar o SGSI; CHECK — monitorar e analisar criticamente o SGSI; e ACT — manter e melhorar o SGSI ? "A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA ..."

Verdadeiro

Falso

#10. (CESPE – TCE-SC/2016) À luz das normas ISO/IEC 27001 e 27002, julgue os próximos itens, relativos à segurança da informação. Ao elaborar, manter, melhorar e implantar um sistema de gestão de segurança da informação, a organização deve considerar as características técnicas de seu negócio, e o SGSI (sistema de gestão de segurança da informação) deve ser documentado dentro do contexto de suas atividades operacionais, sem, contudo, envolver a direção da organização ? "A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI ..."

Falso

Verdadeiro

#11. (CESPE – CNJ/2013) De acordo com a norma ABNT NBR ISO/IEC 27001, informações publicamente disponibilizadas pela organização não requerem mecanismos de proteção para a sua visualização e modificação. ? "Informações publicamente disponíveis: A integridade das informações disponibilizadas em sistemas publicamente acessíveis deve ser protegida, para prevenir modificações não autorizadas. "

Verdadeiro

Falso

#12. (CESPE – TRE/RJ/2012) De acordo com o estabelecido na mencionada norma, a organização, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia da informação e a abordagem para a avaliação de riscos.

Falso

Verdadeiro

#13. (CESPE – BASA/2012) No que se refere aos objetivos de controle, contidos no Anexo A(normativo) ABNT NBR ISO/IEC 27001, julgue. A referida norma é explícita ao afirmar que, em razão de seu caráter privativo, as políticas e procedimentos de segurança de uma organização não podem ser expostos à opinião de outros, o que impossibilita contatos com grupos de interesses especiais ou ainda a promoção de fóruns especializados de segurança da informação e associações profissionais.

Verdadeiro

Falso

#14. (CESPE – BASA/2012) A violação da política de segurança da informação deve ser apurada por meio da aplicação de processo disciplinar formal: é o que estabelece o controle de processo disciplinar contido no grupo de controle de segurança em recursos humanos.

Falso

Verdadeiro

#15. (CESPE – TRE-MS/2013) Entre as atividades para se estabelecer um SGSI, conforme a norma ABNT NBR ISO/IEC 27.001, inclui-se a ? A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo; b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia ...; c) Definir a abordagem de análise/avaliação de riscos da organização; d) Identificar os riscos; e) Analisar e avaliar os riscos; f) Identificar e avaliar as opções para o tratamento de riscos; g) Selecionar objetivos de controle e controles para o tratamento de riscos; h) Obter aprovação da direção dos riscos residuais propostos; i) Obter autorização da direção para implementar e operar o SGSI; j) Preparar uma Declaração de Aplicabilidade.

condução de auditorias internas no SGSI.

implementação de plano de tratamento de riscos.

identificação de tentativas e falhas de segurança.

elaboração de plano de tratamento de riscos.

definição de escopo e limites do SGSI.

#16. (CESPE – TRE-MS/2013) Com referência à responsabilidade por ativos de informação, a norma ABNT NBR ISO/IEC 27.001 estabelece que a identificação, a documentação e a implementação de regras para que seja autorizado o uso de informações associadas a recursos de processamento de informação devem ser orientadas pelo controle denominado ? "Uso aceitável dos ativos: Devem ser identificadas, documentadas e implementadas regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação. "

inventário dos ativos.

proprietário dos ativos.

uso aceitável de ativos.

recomendações para classificação.

contato com grupos especiais.

#17. (CESPE – TSJ/2015) Conforme disposto na norma ISO 27002, as senhas de acesso devem, necessariamente, ser de uso pessoal e individual bem como devem ser mantidas sob sigilo.

Verdadeiro

Falso

#18. (FGV – TCE-SE/2015) Com relação à norma ISO/IEC 27002:2013, está correto afirmar que:

organizações agora podem ser certificadas na última revisão (2013) da ISO 27002;

não é mais necessário o gerenciamento de ativos, cuja cláusula foi suprimida na revisão de 2013;

ela tem foco no gerenciamento de risco na segurança da informação.

ela indica a necessidade do uso do ciclo PDCA nos processos da organização;

a revisão de 2013 criou uma seção específica para controles criptográficos;

#19. (CESPE – CGE-PI/2015) O objetivo principal da norma ISO/IEC 27002 é implantar um sistema de gestão da segurança da informação (SGSI). ? "Objetivo: ... estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização."

Verdadeiro

Falso

#20. (VUNESP – TCE-SP/2015) A norma NBR ISO/IEC 27002:2013 recomenda que seja feita a classificação das informações, proporcionando um nível adequado de proteção. Essa recomendação faz parte da etapa ou seção de ? "Gestão de ativos: alcançar e manter a proteção adequada dos ativos da organização."

gerenciamento das operações e comunicações.

segurança física e do ambiente.

gestão de ativos.

gestão de incidentes da segurança da informação.

controle de acessos.

#21. (FCC – TRE-RR/2015) Considere que um determinado Tribunal Regional Eleitoral esteja definindo uma forma de gerenciar riscos da infraestrutura de TI, incluindo a determinação de políticas, procedimentos, diretrizes, práticas e estruturas organizacionais para estabelecer proteções e contramedidas. De acordo com a Norma ISO/IEC 27002, essa definição para segurança da informação é denominada ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

Evento

Ativo

Política

Recurso

Controle

“Controle: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.”

Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )

#22. (FCC – CNMP/2015) A Norma NBR ISO/IEC 27002:2005 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é ? Ativo intangível é um ativo não monetário identificável sem substância física (CPC, 04 R1). Já para Hoss et. al. (2010): Ativos intangíveis são incorpóreos representados por bens e direitos associados a uma organização.

o plano de continuidade do negócio.

o equipamento de comunicação.

o serviço de iluminação.

a base de dados e arquivos.

a reputação da organização.

#23. (FCC – TCM-GO/2015) A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002:2005 tem como objetivo apresentar recomendações para ? "assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil."

garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil.

evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.

assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.

não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso.

resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação.

#24. (CESPE – TJ-SE/2014) Com base no disposto nas normas NBR ISO/IEC 27001 e 27002 e na ITIL (versão 3), julgue.
O inventário de ativos refere-se a um controle incluído na interação com as partes externas à organização. ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

Verdadeiro

Falso

“Ativo: qualquer coisa que tenha valor PARA a organização.”

#25. (CESPE – TJ-SE/2014) No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002. Para que haja confiabilidade, o documento de política de segurança da informação deve permanecer inalterado ao longo do tempo.

Verdadeiro

Falso

#26. (CESPE – TCU/2015) As políticas de segurança da informação corporativas devem refletir os objetivos e princípios de segurança da organização que servirão como base para a aplicação de controles destinados a reduzir os riscos de fraudes e erros.

Falso

Verdadeiro

#27. (CESPE – TJ-SE/2014) No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002. O principal objetivo das políticas de segurança da informação é colaborar com a gestão da segurança da informação, orientando-a e apoiando-a administrativamente. ? "Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes."

Falso

Verdadeiro

#28. (CESPE – TJ-CE/2014) Com relação à segurança da informação, assinale a opção correta.

De acordo com a NBR ISO/IEC 17799, a utilização de assinatura digital bem como a utilização de criptografia são controles que podem ser adotados, quando necessário, para proteger informações críticas contra divulgação não autorizada ou contra modificação. Esses mecanismos de controle são aplicados para salvaguardar as mídias de computador que estão sendo transportadas entre localidades.

No que se refere à confiabilidade, somente pessoas autorizadas devem ter acesso à informação, ao passo que, no que se refere à integridade, a exatidão e a completeza da informação devem ser asseguradas, com exceção dos métodos de processamento.

No que se refere à disponibilidade, mesmo os usuários não autorizados devem ter acesso à informação e aos ativos correspondentes sempre que necessário.

O certificado digital apresenta informações como o nome da pessoa ou da entidade a ser associada à chave privada e ao número de série do certificado, no entanto, para garantir a confidencialidade, não se pode apresentar a chave pública, o nome e a assinatura da entidade que assinou o certificado.

Para obter a certificação digital, é suficiente possuir dados criptografados por meio de chave simétrica e uma entidade certificadora para validar o hash gerado na criptografia que, uma vez realizada, não expira.

#29. (FGV – IBGE/2017) Um dos ataques mais difíceis de combater é o ataque distribuído de negação de serviço (DDoS), em razão da dificuldade de determinar as suas origens.
Uma forma frequente de realizar esse ataque é por meio de: ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

sniffing;

ransomware;

scams.

botnets;

phishing;

Correto:

Botnets: são computadores “zumbis”. Em suma, são computadores invadidos por um determinado cracker, que os transforma em um replicador de informações. Dessa forma torna-se mais difícil o rastreamento de computadores que geram spams e aumentam o alcance das mensagens propagadas ilegalmente.

Errado:

Phishing: a palavra phishing traz o princípio de uma analogia criada pelos fraudadores, quando “iscas” (e-mails ou site) são utilizadas para “pescar” senhas e/ou dados financeiros.

Ransomware: um tipo de malware que também é conhecido como “sequestrador”. Ele criptografa arquivos dos computadores e impede que eles voltem a ser usados, sendo decodificados apenas após o pagamento de resgates aos crackers responsáveis.

Sniffer Attack/ Sniffing: tipo de ataque realizado por softwares que capturam pacotes de informações trocados em uma rede. Se os dados não forem criptografados, os ofensores podem ter acesso às conversas e outros logs registrados no computador atacado.

Scanners: são softwares que varrem computadores e sites em busca de vulnerabilidades.

Para ler mais sobre o assunto, acesse: Ameaças e Métodos de Ataque ( )

#30. (FUNECE – UECE/2017) Mesmo com a tela bloqueada por senha, um computador pode ter o hash da senha do usuário roubado. Um ataque possível consiste em plugar numa porta USB da máquina um pendrive especial que irá se identificar como adaptador de rede sem fio. Dessa forma, ele pode monitorar a conexão com a Internet e assim enviar preciosas informações para um servidor malicioso. Atente ao que se diz a seguir a esse respeito:
I. Versões do Windows e do Mac OS automaticamente instalam novos dispositivos USB assim que são conectados ao computador, ainda que este esteja bloqueado por senha.
II. Isto é verdade para o Windows, pois seu algoritmo de senhas utiliza a função criptográfica MD5sum com hashes de 32 bits, mais inseguros que os hashes MD5 de 64 bits do Mac OS.
III. Quando um computador está com a tela bloqueada por senha, ainda é possível haver tráfego de rede, o que vale tanto para o Windows como para o Mac OS.
Está correto o que se afirma em

I e II apenas.

II e III apenas.

I e III apenas.

I, II e III.

Teste 4: Segurança de TI

Teste 4: Segurança de TI

Results

#1. (IBFC – EBSERH/2017) Para um típico ataque de negação de serviço (DDoS – Distributed Denial-of-Service) os crackers podem utilizar como estratégia o recurso técnico denominado:

#4. (INSTITUTO AOCP – EBSERH/2016) Assinale a alternativa que apresenta o tipo de vírus de computador considerado mais prejudicial que os demais, devido a sua capacidade de se propagar sozinho e ampliar sua infecção para outros computadores.

#6. (FCC – TRT – 15ª Região/2015) Segundo a norma ISO 27001 de 2006, a Segurança da Informação é um conjunto de medidas que visam proteger e preservar informações e sistemas de informações, assegurando-lhes algumas qualidades, EXCETO a

#12. (CESPE – TRE/RJ/2012) De acordo com o estabelecido na mencionada norma, a organização, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia da informação e a abordagem para a avaliação de riscos.

#14. (CESPE – BASA/2012) A violação da política de segurança da informação deve ser apurada por meio da aplicação de processo disciplinar formal: é o que estabelece o controle de processo disciplinar contido no grupo de controle de segurança em recursos humanos.

#17. (CESPE – TSJ/2015) Conforme disposto na norma ISO 27002, as senhas de acesso devem, necessariamente, ser de uso pessoal e individual bem como devem ser mantidas sob sigilo.

#18. (FGV – TCE-SE/2015) Com relação à norma ISO/IEC 27002:2013, está correto afirmar que:

#25. (CESPE – TJ-SE/2014) No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002. Para que haja confiabilidade, o documento de política de segurança da informação deve permanecer inalterado ao longo do tempo.

#26. (CESPE – TCU/2015) As políticas de segurança da informação corporativas devem refletir os objetivos e princípios de segurança da organização que servirão como base para a aplicação de controles destinados a reduzir os riscos de fraudes e erros.

#28. (CESPE – TJ-CE/2014) Com relação à segurança da informação, assinale a opção correta.

Deixe uma resposta Cancelar resposta