Simulado MCSO - 257 Questões

download Simulado MCSO - 257 Questões

of 49

description

Simulado para a certificação MCSO (Módulo Certified Security Officer)

Transcript of Simulado MCSO - 257 Questões

Simulado Certificao MCSO (Mdulo Certified Security Officer)

Este simulado com 257 questes, foi elaborado enquanto eu estudava para a certificao MCSO, espero que o mesmo ajude a voc conquistar a sua certificao. Atualizado com as questes dos mdulos 1 e 2 do curso on-line para certificao MCSO.

Origem das questes deste simulado : Exerccios Curso on-line MCSO Security Security Security Security Security Security Security Security Security Security Security Security Security Security Security Security Officer Officer Officer Officer Officer Officer Officer Officer Officer Officer Officer Officer Officer Officer Officer Officer 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 Parte Parte Parte Parte Parte Parte Parte Parte Parte Parte Parte Parte Parte Parte Parte Parte 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 - Fundamentos e Princpios da Segurana da Informao - Gesto da Segurana da Informao - Governana da Segurana da Informao - Gesto de Incidentes Da Segurana da Informao - Legislao Regulamentao e Compliance - Gesto de Continuidade de Negcios - Gesto de Riscos em Segurana da Informao Simulado Criptografia - Controle de Acesso - Segurana e Aplicaes em Hosts - Segurana em Redes e Telecomunicaes - Gesto de Vulnerabilidades - Segurana Fsica - Gesto de Pessoas - Computao Forense

Simulado disponibilizado pela Mdulo http://www.modulo.com.br/images/simulado.pdf Simulado disponibilizado pela seja.info http://www.seja.info/simulado/

Rio de Janeiro, Abril 2012

1 - Criptografia - O primeiro padro de criptografia escolhido pelo NIST para ser utilizado em empresas e instituies bancrias foi o DES. a) Verdadeiro b) Falso 2 - Ao escrever uma poltica de classificao de informaes, com o que voc deve se preocupar. a) b) c) d) Utilizar termos tcnicos para deixar claro os diferentes nveis de classificao Elevar ao Maximo possvel a quantidade de nveis de classificao Diminuir ao mximo possvel a quantidade de nveis de classificao Utilizar o nvel de granularidade definido pelas leis do pas.

3 - Criptografia - O ECB o modo mais puro de implementao utilizando algoritmos de bloco. a) b) Verdadeiro Falso

4 - Criptografia - So algoritmos simtricos : DES, RC4, AES, TWOFISH a) b) Verdadeiro Falso

5 - Engenharia social se caracteriza por explorar as vulnerabilidades humanas a) b) Verdadeiro Falso

6 - Que clusula da ISO 27002 visa a proteo dos direitos autorais ? a) b) c) d) Poltica de Segurana Classificao de Ativos Conformidade Controle de acesso

7 - O que no identificado em uma Anlise de Impacto ao Negcio (BIA) ? a) b) c) Tempo de interrupo tolerado pela empresa, resultado de um desastre. Nomes das pessoas que devero ser contatadas em caso de desastre. reas que devem sofrer os maiores prejuzos na ocorrncia de um desastre.

8 - Quais so as caractersticas necessrias a um permetro de segurana ? a) b) c) d) e) Atraso, coibio, rastreamento, deteco e observao. Inibio, coibio, atraso, discriminao e correo. Deteco, inibio, discriminao, atraso e deteco Coibio, discriminao, correo, inibio e atraso Observao, coibio, inibio, atraso e discriminao

9 - Criptografia - O sigilo de um algoritmo de criptografia fundamental para a manuteno de sua segurana. a) b) Verdadeiro Falso

10 - Criptografia - Para uma mesma entrada, em duas ocasies distintas, a seqncia pseudorandomica deve ser a mesma, caso contrrio a decodificao do texto seria inalcanvel. a) b) Verdadeiro Falso

11 - A organizao deve considerar o Security Office como : a) A rea que implementa todos os controles de segurana da organizao b) A rea responsvel pelo desenvolvimento e aprovao da poltica de segurana da organizao c) A rea de avaliao dos riscos que afetam a empresa d) A rea que no autoriza as operaes de negcio que expe a organizao e) A rea que viabiliza as operaes de negcios, provendo sua segurana 12 - Criptografia - O One-time pad um modelo terico de cifra de fluxo. a) Verdadeiro b) Falso 13 - Ao liberar acesso para toda empresa Internet, deve-se ter em mente que problemas com segurana e produtividade ocorrero. Alm da queda de produtividade, outro grande problema a contaminao por vrus, trojans e outros cdigos maliciosos. Dentre as alternativas abaixo, qual das medidas pode-se considerar a mais adequada e completa para minimizar esse problema: a) b) c) e) Implementar ferramenta anti-spam adotar filtro para inspeo de contedo malicioso (Java;Active-X;etc) para acessos a WEB Implementar poltica de acesso e log para e-mails recebidos e enviados Adotar ferramenta antivrus nas estaes de trabalho.

14 - Na poltica de segurana, o documento que deve ser elaborado para cada ambiente existente e direcionado para dois pblicos - "quem cuida" e "quem usa", se denomina : a) b) c) d) Norma Procedimento Operacional Diretriz Carta do Presidente

15 - A taxa de ocorrncia anual de uma ameaa que ocorre 20 vezes a cada 5 anos de _______. O valor da expectativa de perda anual de um ativo que sofre essa ameaa, que tem o valor de R$ 500.000, e um fator de exposio de 30% _________. Informe os valores das lacunas. a) b) c) d) e) 0,4 e R$ 60.000 4 e R$ 600.000 0,25 e R$ 150.000 0,25 e R$ 32.500 4 e R$ 150.000

16 - Qual o procedimento mais recomendado para verificar a qualidade das senhas dos usurios de um sistema Unix ? a) b) c) d) Criao de grupos com senhas para usurios Remoo de contas desnecessrias Nenhuma das alternativas Teste peridicos de quebra de senhas

17 - Criptografia - O processo de compartilhamento do backup das chaves conhecido por key split. a) b) Verdadeiro Falso

18 - So benefcios intrnsecos a uma PKI, por derivarem diretamente do uso da tecnologia de chaves pblicas : a) b) c) d) e) Integridade, Confidenciabilidade e Auditabilidade Confidenciabilidade, Autorizao e Integridade Assinatura Digital, Irretrabilidade e Confidencialidade Autenticidade, Integridade e Confidenciabilidade Confidenciabilidade, Autorizao e Autenticidade

19 - Segurana de Redes - Os Sniffers de pacotes capturam dados atravs do trfego em um rede. a) b) Verdadeiro Falso

20 - Revisar a classificao de uma informao responsabilidade do : a) b) c) d) Administrador da rede Custodiante Profissional de segurana da informao Proprietrio

21 - Criptografia - A poltica de certificao (PC) indica a aplicabilidade de um certificado a classes de uso com requisitos de segurana comuns. a) b) Verdadeiro Falso

22 - A decodificao da mesma mensagem depende da interpretao dada aos cdigos usados pelo emissor ? a) b) Verdadeiro Falso

23 - Ao elaborar uma Poltica de Segurana necessrio considerar ? a) b) c) d) e) f) g) h) Usar uma linguagem conhecida Usar meios adequados aos tipos de mensagem e usurios Adotar estilo simples e claro Respeitar o interlocutor sem superestim-lo ou subestim-lo Respeitar a cultura da organizao e do pas que de destina Somente a alternativa "A" est correta As alternativas "A" e "B" esto corretas Todas as alternativas esto corretas

24 - A validade legal dos documentos eletrnicos : aceita em qualquer situao Depende de lei especial para cada caso, para ser aceita No aceita em nenhum caso aceita, dependendo se a tecnologia permite detectar se um documento teve seu contedo apagado ou alterado. e) Depende de uma lei geral, para ser aceita 25 - O ataque que consiste em enviar um pacote ICMP (Internet Control Message Protocol) com tamanho maior que 65 Kbytes para a mquina atacada conhecido como : a) b) c) d) e) Tear Drop Packet Snifing Session Hijacking Syn Flood Ping of death a) b) c) d)

26 - Criptografia - A Declarao de Praticas de Certificao (DPC) descreve as praticas estratgicas seguidas pela AC na emisso e gerenciamento dos certificados. a) b) Verdadeiro Falso

27 - Segurana de Redes - O falso positivo ocorre quando um alerta gerado para um ataque que no existiu. a) b) Verdadeiro Falso

28 - A tica e a lei : a) Quando aplicadas informtica, so de natureza objetiva, pois a informtica no admite situaes subjetivas b) Tem naturezas diferentes, so aplicadas em planos diferentes, e no necessariamente coincidem c) Esto sujeitas vigncia da Constituio Federal, caso contrrio no so aplicveis na prtica d) Possuem o mesmo fundamento que a natureza, as doutrinas religiosas e as ideologias pacficas e) So sempre coincidentes, pois inconcebvel que uma no esteja de acordo com a outra 29 - Principal problema na utilizao de criptografia simtrica ? a) b) c) d) e) Aumento no consumo de banda durante a transmisso dos dados criptografados Tamanho mximo da chave a ser utilizada em uma determinada criptografia Impossibilidade de transmitir a chave de criptografia de forma segura Alto consumo de processamento para realizar a criptografia Complexidade de implementar o algoritmo de criptografia simtrica

30 - Criptografia - So todos os servios que a criptografia pode oferecer : Confidencialidade, Autenticao e Integridade a) b) Verdadeiro Falso

31 - Criptografia - Os primeiros exemplos de criptografia datam de 1900 AC, e por se tratarem de hierglifos que representavam mensagens podem ser considerados cifras de substituio. a) b) Verdadeiro Falso

32 - A linguagem simblica e sonora deve ser considerada para Segurana da Informao ? a) b) Verdadeiro Falso

33 - O estado de esprito entre os interlocutores no interfere no processo de comunicao ? a) b) Verdadeiro Falso

34 - Criptografia - Esteganografia a cincia que estuda os padres da freqncia lingstica. a) b) Verdadeiro Falso

35 - Criptografia - So algoritmos simtricos : 3DES, RC6, RSA e BLOWFISH. a) Verdadeiro b) Falso

36 - Criptografia - Hoje, o emprego do One-time pad possvel, graas a possibilidade de gerao de keystreams randmicos. a) b) Verdadeiro Falso

37 - Qual das duas principais aplicaes de um scanner de vulnerabilidades ? a) b) c) Auditoria e verificao final de configurao de hosts Auditoria e pesquisa de novos tipos de vrus Acompanhamento da instalao de novos hosts e inventrio de recursos

38 - Criptografia - Os certificados no possuem prazo de validade, eles somente entram na lista de certificados revogados quando perdem sua integridade ou confidencialidade. a) b) Verdadeiro Falso

39 - Criptografia - A ICP Brasil foi criada depois da edio da Medida Provisria 2.200-2 pelo governo federal. a) b) Verdadeiro Falso

40 - As vulnerabilidades humanas so comuns a todos os indivduos tanto quanto os tipos como quanto a intensidade e freqncia. a) b) Verdadeiro Falso

41 - As vulnerabilidades humanas : variam de pessoa para pessoa e de acordo com as circunstncias. a) b) Verdadeiro Falso

42 - Por que deve-se evitar a manuteno de contas inativas ou temporrias em um sistema Unix ? a) b) c) A ambas as alternativas Porque elas podem servir de entrada para um intruso Porque essas contas ocupam recursos computacionais e consomem tempo dos administradores

43 - Quem o responsvel por classificar a informao ? a) b) c) d) O O O O departamento de informtica administrador da rede proprietrio da informao usurio final da informao

44 - Criptografia - O comit Gestor da ICP-Brasil no pode delegar atribuies a AC-Raiz. a) b) Verdadeiro Falso

45 - Criptografia - A cifra de Vigeniere possibilita o uso de um alfabeto para cada letra cifrada. a) b) Verdadeiro Falso

46 - Auto-suficincia, confuso de referncias e desconforto so considerados rudos de comunicao apenas com relao ao receptor da mensagem ? a) b) Verdadeiro Falso

47 - Qual dos tipos de ataques abaixo representa a obteno de informaes de uma rede (probing) sem caracterizar um ataque intrusivo ? a) b) c) d) e) Brute force attack Buffer overflow Denial of service Attack Dns spoofing Port Scan

48 - Criptografia - O MD5 um algoritmo de criptografia simtrico. a) b) Verdadeiro Falso

49 - Qual das tcnicas abaixo permitem a realizao de uma captura de pacotes (sniffer) mesmo em redes com dispositivos do tipo switch ? a) b) c) d) e) Denial of service DNS spoofing War Dialing ARP Spoofing IP spoofing

50 - NAT esttico (ou 1-1) geralmente usado para : a) b) c) d) e) A A A A A converso converso converso converso converso dos endereos de IP dos servidores para a Internet dos endereos IP das estaes de trabalho do endereo IP do firewall do endereo IP do gateway da rede dos endereos IP dos servidores da Internet (restritos ao uso local)

51 - Considerando a pilha OSI, a principal diferena entre filtro de pacotes e proxy e que o filtro de pacotes trabalha na camada de rede, e o proxy trabalha na camada de : a) b) c) d) e) Sesso Apresentao Enlace Aplicao Transporte

52 - Qual o primeiro passo efetivo para resolver qualquer esforo de segurana da informao? a) b) c) d) Auditoria Analise de riscos Poltica de segurana Plano de continuidade de negcios

53 - A coordenao de segurana deve garantir que : a) b) c) d) e) Todos os sistemas sejam recuperados no menor tempo possvel No existam vulnerabilidades na organizao O comit de segurana seja formado por executivos de todas as reas O comit de segurana seja informado sobre o status de segurana do ambiente da organizao. A organizao no ter perdas com segurana

54 - Os controles de acesso biomtricos so usados considerando-se algumas caractersticas principais sobre os usurios a) b) c) d) e) O que voc sabe, o que voc e o que voc tem. Sua funo, onde trabalha e identificao. O que voc sabe, o que voc conhece e onde voc trabalha O que voc tem, o que voc sabe e o que voc pode O que voc pode, o que voc faz e o que voc tem

55 - Criptografia - A vantagem da cifra de fluxo sua velocidade de codificao. a) b) Verdadeiro Falso

56 - Aponte a opo que melhor representa todos os ativos que sero os alvos dos controles de segurana. a) b) c) d) e) Infra-estrutura, tecnologia, aplicaes, informaes e pessoas Hardware, software, sala dos servidores e links Internet Website, sistemas ERP, sistema de contabilidade e sistema de clientes Estaes de trabalho, notebook, impressoras e mdias Ambiente fsico, portaria, sala dos servidores e fitoteca

57 - O mecanismo de extino de incndio conhecido como "drypipe" tem como sua maior vantagem ? a) b) No mantm gua na tubulao um tempo de desarmamento antes de ser acionado. "Drypipe" um tipo especial de sprinkler. Sim mantm gua na tubulao um tempo de desarmamento antes de ser acionado. "Drypipe" um tipo especial de sprinkler.

58 - Os ataques conhecidos por "Denial of Service" (negao de servios) so os que afetam diretamente qual dos princpios bsicos da segurana da informao ? a) b) c) d) e) Integridade Disponibilidade Autenticao No repdio Confidencialidade

59 - Segurana de redes - O defacement a alterao no autorizada de uma pgina web a) b) Verdadeiro Falso

60 - A gesto de segurana deve focar fundamentamente em : a) b) c) d) e) Aes tecnolgicas para implementar os controles definidos Aes detectivas, detectando os incidentes de segurana Aes preventivas, evitando os incidentes de segurana Aes corretivas, eliminando as vulnerabilidades e garantindo a continuidade das operaes de negcio Aes de conscientizao, garantindo o comprometimento do elo mais fraco da segurana : o ser humano

61 - Criptografia - A baixa escalabilidade um problema da criptografia simtrica. a) b) Verdadeiro Falso

62 - Criptografia - Tanto o DES, como o AES so algoritmos que utilizam tcnicas de substituio e transposio. a) b) Verdadeiro Falso

63 - Criptografia - O Comit Gestor da ICP-Brasil tem a misso de adotar as medidas necessrias e coordenar a implantao e o funcionamento da ICP-Brasil. a) b) Verdadeiro Falso

64 - Considere as afirmaes abaixo a respeito de DMZ (zona desmilitarizada / demilitarized zone): a) b) c) d) e) f) g) h) Utilizada para disponibilizar servios de menor confiabilidade Isola os servios privados dos servios pblicos As mquinas da DMZ costumam ficar no mesmo segmento da rede local Somente a alternativa "A" est correta As alternativas "A" e "B" esto corretas As alternativas "A" ,"B" e "C" esto corretas As alternativas "B" e "C" esto corretas Somente a alternativa "C" est correta

65 - Criptografia - Todos os documentos assinados digitalmente possuem validade legal a) b) Verdadeiro Falso

66 - Voc necessita permitir que o seu assistente tenha permisso de realizar Windows Updates e aplicar Service Packs. Em qual dos grupos abaixo o assistente necessitar participar ? a) b) c) d) e) Administrators Account Operator Server Operator Opes "A" e "B" Opes "B" e "C"

67 - A verso atual do protocolo Wap permite autenticao do servidor (WAP Gateway). Que elemento deve ser usado para tornar possvel essa autenticao ? a) b) c) d) e) Analisador de protocolos Certificado digital Smartcard Servidor Kerberos Firewall

68 - Cada individuo tem sua escala de valores. Dessa forma, em um processo de seleo, os perfis individuais devem ser avaliados considerando-se como referncia os valores da organizao ? a) b) Verdadeiro Falso

69 - Medidas de segurana so aes voltadas eliminao de vulnerabilidades com vista a evitar a concretizao de uma ameaa. a) b) Verdadeiro Falso

70 - A segurana da informao est intimamente ligada a compreenso do contexto, seu significado e sua importncia. a) b) Verdadeiro Falso

71 - O que mais importante na hora de comprar um no-break ? a) b) c) d) Espao fsico Carga eltrica Opo de combustvel Durao da bateria

72 - Criptografia - Para criptografia simtrica, a transmisso de chave deve se dar fora da banda. a) b) Verdadeiro Falso

73 - Criptografia - O certificado X.509 um padro para ICPs que diz respeito somente a estrutura de um certificado digital. a) b) Verdadeiro Falso

74 - Criptografia - Somente documentos assinados digitalmente que usam a Infra-estrutura da ICP-Brasil possuem validade legal. a) b) Verdadeiro Falso

75 - Criptografia - Na cifra de bloco, o algoritmo recebe como entrada uma chave, e produz um fluxo de bism keystream, qual o combinado com o texto plano em uma operao OU exclusivo (XOR). a) b) Verdadeiro Falso

76 - Criptografia - O ECB implementa operaes que ocultam os padres lingsticos do texto plano. a) b) Verdadeiro Falso

77 - Qual das prticas abaixo deve ser adotada para se evitarem ataques de engenharia social a) b) c) d) e) Utilizar dispositivos fsicos de controle de acesso e monitorao Implementao de filtros de segurana nos dispositivos de conectividade com a Internet Definir e implantar regras de formao de senhas longas e complexas Manter atualizados os sistemas operacionais Definir e disseminar uma cultura de segurana para todas as pessoas que manipulam informaes sensveis.

78 - Quais os principais componentes de um IDS - Sistema de Deteco de Intruso (Intrusion detection system) a) b) c) E-box, A-box, C-box e D-box E-box, A-box e D-box e R-box E-box, C-box e D-box

79 - Aps uma anlise de riscos da empresa, voc identificou que h um servidor cujo conteudo : 50% de informaes classificadas com PUBLICAS, 25% das informaes so RESTRITAS e 25% das informaes so CONFIDENCIAIS. O que voc deve fazer ? a) b) c) Classificar o servidor como pblico Classificar o servidor com confidencial Classificar o servidor com restrito

80 - Segurana de Redes - Os ataques ativos interagem com o alvo. a) b) Verdadeiro Falso

81 - Criptografia - Velocidade e bom nvel de segurana so qualidades de um sistema criptogrfico simtrico. a) b) Verdadeiro Falso

82 - Os dispositivos de IDS - Intrusion Detection System tem como finalidade bsica detectar ataques maliciosos em tempo real, permitindo que algumas aes sejam tomadas. Qual das premissas abaixo no uma caracterstica IDS ? a) Agente network based deve ser posicionado no segmento cujo ataque se deseja detectar b) O agente network capaz de detectar ataques baseados na rede e tomar aes como terminar a conexo ou enviar alerta ao administrador. c) O agente host based deve ser instalado no servidor que se deseja proteger d) Mesmo em redes onde o trfego criptografado, o IDS pode identificar um ataque em andamento e) Os IDSs de modo geral, atuam como um sentinela e procuram por ataques a partir de assinaturas disponibilizadas pelo seu fabricante. 83 - Impacto e ameaa so fatores que podem ser mensurados. a) b) Verdadeiro Falso

84 - Criptografia - Cifras polialfabticas so mais vulnerveis a ataques do tipo KPA. a) b) Verdadeiro Falso

85 - Em alguns firewalls podemos dizer que pacoted de determinados endereos s sero aceitos se vierem de uma determinada interface do firewall. Essa uma configurao que visa a proteo contra : a) b) c) d) e) Varredura de portas Syn Flood Quebra de Senhas do Firewall IP Spoofing Pacotes Fragmentados

86 - A percepo que cada um tem do mundo ou de uma situao em particular pode interferir no processo de comunicao ? a) b) Verdadeiro Falso

87 - Quais as macro fases de uma soluo corporativa de segurana da informao ? a) b) c) d) e) Analise, implementao, correo e administrao Teste, manuteno, correo e administrao Analise, poltica, implementao, administrao Diagnostico, implementao, correo e administrao Analise, teste, correo e manuteno

88 - Segurana de Redes - Ataques passivos capturam informaes sobre o alvo. a) b) Verdadeiro Falso

89 - Criptografia - As seqncias pseudo-randmicas devem ser suficientemente longas para no se repetirem em um perodo inferir ao tamanho da mensagem. a) b) Verdadeiro Falso

90 - A segurana da informao envolve emoo, e implica dentro outros, em valores ticos, morais, econmicos e sociais dos indivduos. a) b) Verdadeiro Falso

91 - Criptografia - O Comit Gestor da ICP-Brasil tem a responsabilidade de estabelecer polticas, critrios e normas tcnicas para o funcionamento da AC-raiz, ACs e ARs subordinadas. a) b) Verdadeiro Falso

92 - Criptografia - O AES um algoritmo de bloco que utiliza tamanhos de blocos maiores que usados no DES. a) b) Verdadeiro Falso

93 - Criptografia - O RC4 utilizado nos protocolos SSL, WEP e WPA. a) b) Verdadeiro Falso

94 - Criptografia - No ECB para cada bloco de texto plano existe um equivalente cifrado. a) b) Verdadeiro Falso

95 - Podem ser considerados como impacto os seguintes itens, exceto: a) b) c) d) e) Perda de rastreabilidade Custo de reposio de equipamento Perda de vantagem competitiva Perda de negcios Perdas financeiras

96 - Criptografia - recomendado o uso de pares de chaves diferentes para o servio de no repdio e confidencialidade. Com isso, o usurio poder utilizar o processo de key scrow para o par de chaves referentes confidencialidade, sem perder o no repdio do outro par de chaves. a) b) Verdadeiro Falso

97 - Diante do vertiginoso crescimento do nvel de dependncia que as empresas tem da Informao e da Tecnologia, qual o grande desafio do executivo ? a) b) c) d) e) Reduzir e administrar os riscos da integrao entre tecnologia e negcio. Reduzir os riscos pontualmente e isoladamente Agir com cautela evitando a automatizao e informatizao Reagir sob demanda diante de uma situao de quebra de segurana Ignorar as ameaas e riscos, focando nos benefcios inerentes tecnologia

98 - As alternativas abaixo devem fazer parte do processo de implementao da poltica de classificao de informaes, exceto : a) b) c) e) Identificao do proprietrios da informao Definio de plano de recuperao de desastres Definio de responsabilidades Definio dos critrios para classificao de informaes

99 - Criptografia - Cifras homofnicas so tcnicas de substituio onde um caractere do texto plano pode ser traduzido em diversos smbolos de texto cifrado. a) b) Verdadeiro Falso

100 - Criptografia - Quando ocorrer o backup pela AC das chaves do usurio em uso, o servio de no repdio no perde o valor. a) b) Verdadeiro Falso

101 - Criptografia - Na criptografia simtrica existe 1 par de chaves para cada indivduo. a) b) Verdadeiro Falso

102 - Existe uma distino entre analise de risco - AR e gerncia de Risco - GR: a) Na verdade ambos tem o mesmo significado b) Na AR estabelecida uma poltica de gerncia de risco, na GR so estabelecidos critrios de aceitao de riscos c) Na AR definido o escopo do projeto, na GR estabelecida a equipe de segurana d) Na AR so definidas a metodologia e as ferramentas para a anlise, na GR so estabelecidos critrios de aceitao do risco e) Na GR feita a identificao e avaliao dos ativos e na AR estabelecida uma poltica de gerencia de risco. 103 - Criptografia - O RC4 um algoritmo de bloco. a) b) Verdadeiro Falso

104 -A criptografia permite a transformao de uma mensagem para um formato incompreensvel, no entanto qual dos itens abaixo no possui suporte atravz da implementao de criptografia ? a) b) c) d) e) Irretratabilidade Disponibilidade Confidencialidade Autenticao Integridade

105 - Os cdigos que expressam sensaes e sentimentos caracterizam a comunicao oral e devem ser considerados. a) b) Verdadeiro Falso

106 - So etapas de um plano de conscientizao em segurana da informao : a) b) c) d) e) f) g) h) Anlise do escopo Definir objetivos Selecionar e ordenar o contedo Definir metodologia e abordagem Somente a alternativa "A" est correta As alternativas "A" e "B" esto corretas As alternativas "A" , "B" e "C" esto corretas Todas as alternativas esto corretas

107 - Anlise de risco o processo de identificar os ativos, priorizando-se o tratamento das vulnerabilidades, identificando as medidas de segurana apropriadas para evitar ou reduzir o impacto indesejado. Esta frase esta : a) b) c) d) e) Correta, pois no ha a necessidade de identificar ameaas uma vez que se conhece as vulnerabilidades Correta, pois define passos da anlise de riscos Correta, pois identificao dos ativos inclui a identificao das ameaas Errada, pois no processo est faltando a identificao das ameaas Errada pois o risco do impacto deve ser eliminado e no evitado ou reduzido

108 - Criptografia - So informaes referentes ao contedo / campos do certificado baseado no padro x.509 : Nome do proprietrio, Numero de srie, Perodo de validade, Informao de revogao, Chave pblica, Assinatura digital a AC. a) b) Verdadeiro Falso

109 - A segurana da informao est intimamente ligada a compreenso do contexto, seu significado e sua importncia para os indivduos ? a) b) Verdadeiro Falso

110 - Criptografia - O processo de quebrar a chave em pedaos, e compartilhar um pedao para cada usurio responsvel, evitando a perda de confidencialidade ou no repdio conhecido como key escrow. a) b) Verdadeiro Falso

111 - A primeira atividade que o Security Officer deve executar numa organizao de : a) Planejamento, definindo o programa de segurana da organizao e as responsabilidades e processos da rea b) Definio das melhores prticas de tecnologia da informao c) Execuo, implementando protees de segurana em pontos que ele determinou como crticos d) Avaliao da segurana fsica e do ambiente, tradicional fraqueza de uma organizao e) Estruturao da rea de auditoria de segurana 112 - Segurana de Redes - Um overflow uma falha de programao que permite ataques de invaso e indisponibilidade contra a aplicao afetada. a) b) Verdadeiro Falso

113 - Criptografia - A Cifra de Csar imune a ataques do tipo KPA. a) b) Verdadeiro Falso

114 - Firewalls so componentes de uma poltica de segurana que visam restringir ou controlar o fluxo de informao entre : a) b) c) e) Os servidores e as estaes cliente Redes departamentais de uma empresa Rede local e a internet Duas ou mais redes quaisquer, com necessidades de segurana distintas

115 a) b) c) d)

- Segundo a ISO 27002, que controle de segurana reduz o risco de negligncia ? Termo de no divulgao Permetro de segurana Campanha de conscientizao Segregao de responsabilidade

116 - Como posso garantir a confidencialidade das informaes que trafegam entre o dispositivo mvel e o WAP Gateway ? a) b) c) d) e) Confidencialidade, autorizao e integridade Com o uso de aparelhos celulares digitais Com o uso da tecnologia Push Com o uso do protocolo WTLS (Wireless Transport Layer Security) Com o uso do protocolo SSL (Security Socket Layer)

117 - A principal diferena entre segurana fsica e segurana da informao que os ativos com as quais cada uma delas se preocupa so diferentes, embora muitos ativos sejam protegidos por ambas. a) b) 118 a) b) Verdadeiro Falso - Criptografia - O AES veio como substituto do 3DES Verdadeiro Falso

119 - Gesto de Pessoas - Relacione as colunas : 1 2 3 4 5 6 7 Mentira Soberba Medo Vaidade Insegurana Inveja Depresso Manifestao arrogante de um orgulho s vezes ilegtimo. Desejo violento de possuir o bem alheio; desgosto ou pesar pelo bem ou pela felicidade de outrem Falta de segurana em si prprio, em seus conhecimentos e experincias Sentimento de grande inquietao ante a noo de um perigo real ou imaginrio, de uma ameaa; temor, pavor Impostura, fraude, falsidade. Engano dos sentidos ou do esprito; erro, iluso. Idia, opinio, doutrina ou falta de juzo. Desejo imoderado de atrair admirao ou homenagens 1-E, 1-E, 1-E, 1-E, 1-E, 2-A, 2-A, 2-A, 2-A, 2-A, 3-D, 3-D, 3-D, 3-D, 3-G, 4-G, 5-C, 4-G, 5-C, 4-G, 5-C, 4-C, 5-G, 4-D, 5-C, 6-F, 7-B 6-B, 7-F 6-B, 7-F 6-B, 7-F 6-B, 7-F

A) B) C) D) E) G) a) b) c) d) e)

120 - Gesto de Pessoas - Relacione as colunas : 1 2 3 4 5 6 7 Cobia Entusiasmo Avareza Preguia Luxria Ira Decepo Apego exagerado ao dinheiro, falta de generosidade, mesquinhez Desejo veemente de alguma coisa. Avidez. Ambio desmedida de riquezas Clera, raiva, indignao. Desejo de vingana Lascvia, sensualidade, corrupo dos costumes Pouca disposio para o trabalho, demora ou lentido em fazer qualquer coisa; moleza Veemncia, vigor no falar e no escrever. Exaltao criadora. dedicao ardente; ardor; paixo Desiluso; desengano; desapontamento; Surpresa desagradvel; contrariedade 1-B, 1-B, 1-B, 1-B, 1-B, 2-A, 3-F, 4-E, 2-F, 3-A, 4-E, 2-F, 3-E, 4-A, 2-F, 3-A, 4-E, 2-F, 3-A, 4-E, 5-D, 6-C, 7-G 5-C, 6-D, 7-G 5-D, 6-C, 7-G 5-D, 6-G, 7-G 5-D, 6-C, 7-G

A) B) C) D) E) F) G) a) b) c) d) e)

121 - Relacione as colunas : 1 2 3 4 5 6 7 Impacto Proprietrio Vulnerabilidade Risco Ameaa Agente de Ameaa Valor

A) Medida de importncia do ativo para a organizao. Pode ser atravs de propriedades mensurveis ou no B) Evento que pode comprometer o funcionamento normal da organizao C) Sujeito que pratica a ameaa D) Falta ou falha de proteo que permite que a ameaa se concretize E) Grau de comprometimento que a concretizao de uma determinada ameaa traz para a organizao F) Medida que indica a probabilidade de uma ameaa se concretizar, combinada com os impactos que ela trar. G) Atribui valor aos ativos, tem cincia das vulnerabilidades, busca minimizar os riscos e impe protees aos ativos a) b) c) d) e) 1-E, 1-E, 1-E, 1-E, 1-E, 2-D, 2-G, 2-G, 2-G, 2-G, 3G, 4-F, 5-B, 6-C, 7-A 3-D, 4-F, 5-B, 6-C, 7-A 3-F, 4-D, 5-B, 6-C, 7-A 3-D, 4-B, 5-F, 6-C, 7-A 3-D, 4-F, 5-B, 6-A, 7-C

122 - Segurana de Redes - Sobre a camada OSI - relacione as colunas : 1 2 3 4 5 6 7 Camada Camada Camada Camada Camada Camada Camada de rede de Transporte Fsica de Apresentao de Sesso de Aplicao de Enlace

A)

B) C) D) E) F) G)

HTTP, SMTP, SNMP, FTP, Telnet, NFS, A camada 1 compreende as especificaes do hardware utilizado na rede (compreendidos em aspectos mecnicos, eltricos e fsicos - todos documentados em padres internacionais) Exemplos : Ethernet 802.3, RS-232, V.22 Gerencia o enlace de dados. responsvel pelo acesso lgico ao ambiente fsico da rede, como transmisso e reconhecimento de erros. Exemplos : Ethernet 802.2, DDCMP, LAP-B, SDLC, HDLC, X.25 Estabelece uma conexo lgica entre dois pontos, cuidando do trafego e roteamentos dos dados na rede Controla a transferncia de dados e transmisses. Protocoles de transporte (TCP) so utilizados nesta camada. Exemplos : TCP, XNS, DECnet Reconhece os ns da rede local LAN e configura a tabela de endereamento entre fonte e destino, isso , estabelece as sesses, no qual o usurio poder acessar outras mquinas da rede Transfere informaes de um software de aplicao da camada de sesso (completar a noite) representada pelo usurio final no modelo OSI, selecionando servios a serem fornecidos pelas camadas inferiores, entre eles, o correio eletrnico, transferncia de arquivos, etc. Exemplos : X.400, NFS, Netware, PC LAN, SNA 1-D , 2-A, 3-F, 1-A , 2-F, 3-D, 1-D , 2-F, 3-A, 1-D , 2-F, 3-A, 1-D , 2-F, 3-A, 4-C, 4-C, 4-C, 4-C, 4-C, 5-E, 6-F, 7-B 5-E, 6-F, 7-B 5-F, 6-E, 7-B 5-E, 6-F, 7-B 5-B, 6-F, 7-E

a) b) c) d) e)

123 - Segurana de Redes - O falso positivo ocorre quando um ataque real no detectado. a) b) Verdadeiro Falso

124 Qual dos seguintes meios biomtricos tem o menor tempo de resposta ? a) b) a) b) c) Mapeamento da ris Mapeamento da Geometria da Mo Mapeamento da Impresso Digital Mapeamento da Voz Mapeamento da Retina

125 - Quais os princpios bsicos da segurana da informao segundo a ISO/IEC 17799:2005 (ISO27002) ? a) b) c) d) Confidencialidade, Integridade, Rastreabilidade. Confidencialidade, Autenticidade, Integridade. Legalidade, Integridade, Disponibilidade. Confidencialidade, Integridade e Disponibilidade.

126 - Atribua categorias s vulnerabilidades e marque a alternativa correta. 1 2 3 4 5 a) b) c) d) Fsicas Naturais Hardware Software Humana 3, 3, 4, 3, 1, 4, 3, 5, 2, 2, 2, 2, 4, 5, 1, 1, 5 1 5 4 ( ( ( ( ( ) ) ) ) ) Falta de atualizao de firmware Falta de aplicao de patches recomendao do fabricantes Terremotos e inundaes Usurios desrespeitando normas de segurana Extintor de incndio com prazo de validade vencido

127 - H diferentes abordagens de categorizao para a tarefa de definio de escopo de um projeto de anlise de riscos. A respeito destas podemos afirmar que: a) b) c) d) A categorizao por processos de negcio garante que o levantamento de ativos seja realizado de forma bastante rpida. A categorizao por localidade fsica garante grande aproximao com a rea de negcio pelo fato de ser realizada localmente. A categorizao mista normalmente envolve fortes aspectos culturais. Nenhuma das alternativas anteriores.

128 - Quando a aceitao de riscos deve ser realizada? a) b) c) d) No deve ser realizada. Quando no conseguimos encontrar uma boa relao custo/benefcio Quando os riscos envolverem itens muito complexos. Quando houver a possibilidade de ser realizado um auto-seguro.

129 - Aps decidir que os papis confidenciais de sua empresa seriam descartados em uma lixeira especial para coleta seletiva e fragmentao antes da venda para uma empresa de reciclagem, a rea de segurana fsica adquiriu containers plsticos que no empenam e por isso no permitem acesso fcil aos documentos. Contudo os containers so facilmente desmontveis comum a chave de fenda e no deixam rastros de violao. Como a compra dos containers ocorreu de maneira desestruturada e, por isso, sem sua participao, o ideal seria troc-los por containers que oferecessem mais segurana, mas essa possibilidade j foi descartada por motivos polticos e financeiros. Qual seria a sua melhor opo para o tratamento dos riscos residuais dessa situao? a) A implementao de lacres contra a violao seria uma soluo extremamente barata que apesar de no impedir o acesso aos documentos, pois os containers continuam sendo desmontveis, deixam rastro de que o container foi desmontado. Com isso voc passa a ter casos reais de incidentes que reforaro a necessidade de trocar os containers ou chega concluso que os lacres j esto adequados realidade da empresa. Como a sua anlise de riscos j demonstrou que as fragmentadoras no fragmentam os papis em um nvel considerado adequado, suas informaes j esto expostas quando so vendidas. J que a informao est exposta fora da empresa no h justificativa para investimos internamente. Apesar dos custos de implementao de CFTV para monitorar os containers serem extremamente elevados a rea de segurana da informao possui oramento para cobrir as despesas e deve implementar cmeras para registrar incidentes. Nenhuma das alternativas anteriores, pois o assunto deve esperar mais um ano para ser resolvido

b)

c)

d)

130 -. Marque a alternativa correta para a definio de "medidas de segurana". a) b) c) d) So aes voltadas ameaa. So aes voltadas vulnerabilidade. So aes voltadas vulnerabilidade. So aes voltadas eliminao de vulnerabilidades com vistas a evitar a concretizao de uma eliminao de ameaas com vistas a evitar a concretizao de uma eliminao de riscos com vistas a evitar a concretizao de uma eliminao de impactos com vistas a evitar a concretizao de um risco.

131 - Relacione a primeira coluna com a segunda :. 1. 2. 3. 4. 5. ABCDEFGHIJKAtivo Vulnerabilidade Ameaa Impacto Medida de segurana rea de armazenamento sem proteo Estaes de trabalho Falha de segurana em um software Perda de vantagem competitiva Roubo de informaes Perda de negcios No executado o "logout" ao trmino do uso dos sistemas Perda de mercado Implementar travamento automtico da estao aps perodo de tempo sem uso Servidores Vazamento de informao

a) A2, B1, C2, D4, E4, F4, G2, H4, I5, J1, K3. b) A2, B1, C2, D3, E3, F4, G2, H4, I5, J1, K4. c) A2, B1, C3, D3, E4, F4, G2, H4, I5, J1, K3. d) A2, B1, C2, D4, E3, F4, G2, H4, I5, J1, K3. 132 - Qual a principal diferena entre a anlise de risco e a gesto de riscos? a) b) c) d) Na anlise estabelecida uma poltica de riscos e na gesto so estabelecidos critrios de aceitao do risco. Ambos os termos tm o mesmo significado. A gesto inclui, alm da anlise, atividades de tratamento e comunicao dos riscos. A anlise de riscos mais abrangente que a gesto de riscos.

133 - Qual das seguintes abordagens de tratamento de risco envolve obrigatoriamente a participao de terceiros? a) b) c) d) Aceitar o risco. Eliminar o risco. Reduzir o risco. Transferir o risco.

134 - A poltica de segurana da informao deve ser elaborada de que maneira? a) Depois de copiado um modelo da Internet devem ser negociadas as possibilidades de implementao sob o ponto de vista tecnolgico. Os itens que no forem factveis devem ser excludos do documento. Deve ser realizada uma anlise e avaliao de riscos e um plano de ao para estabelecer o nvel de segurana adequado ao ambiente. Concluda a implementao e estabelecido o padro deve ser realizado a documentao do padro que ser conhecida como poltica para aquele objeto especfico. Utilizando melhores prticas que devem ser implementadas por serem consideradas solues apropriadas de segurana da informao. Utilizando exclusivamente a ISO27005 como padro pois a documentao trata justamente da diviso da poltica em nveis estratgico, ttico e operacional como sendo diretrizes, normas,procedimentos e instrues.

b)

c) d)

135 - Qual das seguintes opes considerada a mais crtica para o sucesso de um programa de segurana da informao? a) b) c) d) Auditoria. Segregao de funes. Suporte tcnico. Conscientizao dos usurios.

136 - O ideal para garantir a conformidade de aplicao da poltica de segurana sob o ponto cultural : a) b) c) d) Punir os desvios exemplarmente sempre que ocorrerem. Premiar as reas que estiverem com maior conformidade. Possui normatizao que defina as punies em caso de falta de conformidade. Nenhuma das alternativas anteriores.

137 - A respeito do processo de gesto de ativos previsto na ISO27002 correto afirmar que todos os ativos devem ser: a) b) c) d) Identificados, inventariados e ter um responsvel. Analisados, avaliados e protegidos. Analisados, padronizados e documentados. Analisados, priorizados e documentados.

138 - Em um servidor compartilhado h informaes consideradas confidenciais e pblicas. Esse servidor desse ser considerado: a) De uso interno. A mdia aritmtica dos ndices indica que esse servidor tem importncia mdia e por isso no pode ter a mesma classificao de um servidor que possui exclusivamente informaes confidenciais. Confidencial. A existncia da informao confidencial justifica essa deciso. De uso interno-especial apesar de no haver esse critrio previsto na norma de classificao da informao a rea de segurana deve ter um mtodo de tratar excees regra. Nenhuma das anteriores.

b) c) d)

139 - A liberao para acesso a informaes classificadas deve ser feita baseada em que princpio bsico de segurana? a) b) c) d) Confiana. Segregao de funes. Privilgio mnimo. Rotao de tarefas

140 - Quem costuma desempenhar o papel de proprietrio de informaes (information owner) dentro de uma organizao? a) b) c) d) Os tcnicos do departamento de informtica. O Security Officer. Os gerentes de departamento. O presidente da empresa.

141 - Em planos de continuidade de negcios todos os itens abaixo devem fazer parte da cobertura do plano, exceto: a) Garantir a integridade fsica dos funcionrios. b) Garantir o estabelecimento de procedimentos de emergncia. c) Garantir a continuidade dos processos crticos. d) Garantir que o plano contenha, no mnimo, um hotsite . 142 - Quais reas de uma organizao devem ser atendidas por planos de continuidade de negcios? a) b) c) d) Todas as reas que necessitem. rea financeira e de tecnologia da informao. reas operacionais. reas de marketing, finanas e de tecnologia da informao

143 - Que cuidado deve ser tomado no armazenamento de fitas de backup fora da organizao? a) b) c) d) O O O O local local local local de de de de armazenamento armazenamento armazenamento armazenamento deve deve deve deve estar protegido contra acessos no autorizados. estar a, no mnimo, 25 quilmetros da organizao. ser de fcil acesso durante o expediente. estar protegido por guardas armados.

144 - Qual a principal diferena entre um Plano de Continuidade de Negcios (PCN) e um Plano de Recuperao de Desastres (PRD)? a) b) c) d) O PCN direcionado para a recuperao de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informao. O PRD mais abrangente que o PCN. O PRD responsvel pela continuidade dos processos de Tecnologia da Informao enquanto que o PCN foca-se na continuidade para todos os processos. O PCN foca-se no funcionamento contnuo dos processos enquanto que o PRD destinado reparao dos danos causados.

145 - Dentro do mbito da continuidade de negcios, tecnicamente, qual a definio para desastre? a) b) c) d) Um evento sbito, que ocorre de maneira inesperada. Uma catstrofe de grandes impactos. Um evento que causa uma parada nos processos da organizao por um perodo de tempo maior do que ela considera aceitvel. Eventos de ordem natural ou acidental, como terremotos e incndios

146 - O mecanismo de extino de incndios conhecido por "dry pipe" : a) b) c) d) Um sistema de sprinklers onde a gua no entra nos canos at que um sensor automtico indique que existe fogo na rea. Um sistema de sprinklers que utiliza p seco em vez de gua. Um sistema de dixido de carbono usado para extinguir o fogo. Um tipo de gs especial usado exclusivamente para incndios em data centers.

147 - Os itens abaixo podem ser considerados medidas preventivas, exceto: a) b) c) d) Extintor de incndio. Treinamento. Controle de acesso fsico. Circuito fechado de TV.

148 - Qual dos controles abaixo um controle fsico para segurana fsica? a) b) c) d) Treinamento dos colaboradores. Iluminao. Material das instalaes. Procedimentos de resposta a incidentes de segurana fsica.

149 - Com relao ao processo de comunicao correto afirmar: I. II. III. IV. V. VI. a) b) c) d) A percepo que cada indivduo tem do mundo ou de uma situao em particular pode interferir no processo de comunicao. A decodificao da mensagem depende da interpretao dada aos cdigos usados pelo emissor. Cdigos que expressam sensaes e sentimentos caracterizam a comunicao oral e devem ser considerados. Auto-suficincia, confuso de referncias e desconforto so considerados rudos da comunicao apenas com relao ao receptor da mensagem. O estado de esprito entre os interlocutores no interfere no processo de comunicao. A linguagem simblica no deve ser considerada para a segurana das informaes. As As As As alternativas alternativas alternativas alternativas I, II e VI esto corretas. III, IV e V esto corretas. I, IV e V esto corretas. I, II e III esto corretas.

150 - Ao elaborar e comunicar uma Poltica de Segurana da Informao necessrio: I. II. III. IV. V. a) b) Usar uma linguagem conhecida. Usar meios adequados aos tipos de mensagens e usurios. Adotar estilo simples e claro. Respeitar o interlocutor sem superestim-lo nem subestim-lo. Respeitar a cultura organizacional e a do pas a que se destina As alternativas I, II, III, IV e V esto corretas, pois ao elaborar uma poltica necessrio que ela seja ajustada a cada instituio e deve ser comunicada de maneira que todos entendam. As alternativas I, II, III e IV esto corretas, mas a V est errada porque a poltica nica,mesmo para uma multinacional, e as caractersticas humanas e legais do pas na qual aplicada no podem interferir na sua traduo. As alternativas I, II, IV e V esto corretas, mas a III est errada porque uma poltica deve ser construda considerando-se uma linguagem tecnolgica independentemente dos tipos de usurios a que se destina. As alternativas I, II, III e V esto corretas, mas a IV est errada porque deve supor-se que todos os usurios foram selecionados pela empresa, portanto entendem a tecnologia usada.

c)

d)

151 - Com relao aos crimes de informtica: a) b) c) d) S h punio criminal possvel quando a lei prev expressamente crimes cometidos mediante uso de computadores. A maioria dos crimes de informtica j punida pelo Cdigo Penal e apenas uns poucos dependem de lei especial. Se uma conduta enseja o direito indenizao, automaticamente enseja tambm uma sano criminal. No existem crimes de informtica, da mesma forma como no existem crimes de mquinas de escrever ou de televisores

152 - Qual o procedimento ideal e correto para preservao de uma prova eletrnica, nos casos abaixo: a) b) c) d) Pgina na Internet (print screen) Pgina na Internet impresso. E-mail impresso e preservao da mensagem original com a gravao em mdia prpria. E-mail elaborao de ata notorial e preservao da mensagem original com a gravao em mdia prpria.

153 - Quando uma empresa que prov acesso Internet informa os dados do usurio que utilizou determinado endereo IP, em determinada data e horrio, para fins ilcitos, quais as sanes que o usurio poderia sofrer apenas com esta informao: a) b) c) d) Sanes na esfera Cvel e Criminal, pois com a informao prestada j sabemos quem o autor do ato ilcito. Apenas Sano na esfera Cvel, pois apenas sabemos quem o responsvel pelo Contrato com a empresa que proveu o acesso Internet e no quem efetivamente cometeu o ato ilcito. Se o fato constitui crime, apenas sano na esfera criminal. Nenhuma das alternativas apontadas est correta.

154 - Qual o maior obstculo ao aumento dos investimentos em Segurana da Informao dentro das organizaes? a) b) c) d) A falta de conscientizao da alta administrao. Os altos preos praticados pelos fabricantes de solues. A impossibilidade de justificar os benefcios dos investimentos. A falta de argumentos que justifiquem os investimentos

155 - Indicadores so importantes na gesto da segurana da informao para: a) b) c) d) Reduzir os riscos dos ambientes. Melhorar a obteno de recursos. Avaliar e comunicar os resultados trazidos. Reduzir os riscos de problemas legais.

156 - Sobre a organizao da rea de segurana da informao possvel afirmar que: a) b) c) d) Caso a rea de segurana da informao esteja subordinada a rea de TI o CSO no conseguir exercer suas responsabilidades pois est controlando o seu chefe. O comit de segurana deve possuir apenas carter informativo pois os executivos no devem ser envolvidos nas deliberaes de segurana da informao. A rea de segurana existe para garantir a segurana da empresa e por isso deve realizar atarefa sozinha. Nenhuma das alternativas anteriores.

157 - O tamanho de uma chave criptogrfica esta diretamente relacionada: a) b) c) d) qualidade do algoritmo de criptografia. Ao tamanho do hash gerado por esta criptografia. Ao tipo de criptografia a ser utilizada: simtrica ou assimtrica. Ao tempo necessrio para se fazer um ataque de fora bruta.

158 - Qual dos itens abaixo no representa uma boa prtica de segurana no uso de criptografia? a) b) c) d) Realizar a troca constante da chave de criptografia utilizada. Fazer backups de chaves privadas usadas para assinatura digital, armazenando-as com terceiros. Utilizar algoritmos de criptografia pblicos j testados em diversos ambientes. Utilizar dispositivos apropriados para a gerao e armazenamento de chaves.

159 - Qual o maior diferencial dos algoritmos de criptografia assimtrica ECC (Elliptic Curve Cryptography) em relao a tecnologias similares? a) b) c) d) O ECC no precisa de chaves privadas para decodificar informaes. O ECC o nico sistema assimtrico completo, incluindo confidencialidade, assinatura digital e integridade. O ECC oferece um nvel de segurana similar aos outros algoritmos assimtricos, porm utilizando chaves menores. O ECC o nico algoritmo suportado por smart cards.

160 - Qual algoritmo abaixo no um Block Cypher? a) b) c) d) DES. RC4. RC6. Rijndael.

161 - Qual algoritmo abaixo um algoritmo de transposio? a) b) c) d) Scytale. Enigma. Cifra de Csar. Vigenr.

162 - A biometria uma tecnologia que pode ser utilizada tanto no processo de identificao, como no processo de autenticao. a) b) c) d) Verdadeiro, pois a tecnologia oferece mecanismos que podem ser usados em ambos os processos. Falso, a biometria quando usada com outro mecanismo de autenticao torna a tecnologia vulnervel. Verdadeiro, porm, a biometria deve ser utilizada para os dois processos simultaneamente. Falso, a biometria incapaz de oferecer informaes suficientes para identificao

163 - Das opes abaixo, qual a forma mais utilizada para armazenar as senhas dos usurios dentro de um sistema operacional: a) b) c) d) Codific-las usando criptografia assimtrica. Codific-las com uma chave simtrica armazenada dentro do sistema. Usar uma funo hash em cada uma das senhas e armazenar os resultados em um arquivo sem proteo criptogrfica. Usar um sistema de dupla criptografia no arquivo de senhas

164 - Qual seria a principal vantagem de se utilizar certificados digitais para autenticao em comparao com o uso de senhas estticas? a) b) c) d) Os certificados digitais provm tambm a irretratabilidade (no-repdio). Os certificados digitais s funcionam com tokens de autenticao. Os certificados digitais permitem a autenticao de dois fatores. A autenticao via certificados digitais possui uma integrao mais fcil com sistemas antigos.

165 - O conceito de single sign-on prev que: a) b) c) d) Os usurios se autentiquem em cada sistema utilizando uma base de dados centralizada. Os usurios se autentiquem somente uma vez e possam acessar todos os recursos disponveis a eles. Os usurios se autentiquem utilizando certificados digitais. Os usurios possam acessar os sistemas que tm permisso sem um processo formal de autenticao.

166 - Qual modelo de controle de acesso especifica interfaces restritas como proteo a) b) c) d) Biba. Bell-LaPadula. Clark-Wilson. Terminal Services

167 - Qual a principal diferena entre ataques passivos e ativos? a) b) c) d) Ataques passivos interagem com a vtima sem realizar alteraes; ativos alteram o estado ou comportamento da vtima sem interagir com ela. Ataques passivos representam testes, o que no causa danos vtima. Ataques passivos sempre afetam de maneira conjunta os trs princpios da segurana:Confidencialidade, Integridade e Disponibilidade. Ataques ativos comprometem o funcionamento dos sistemas atacados, sendo que os ataques passivos apenas capturam informaes.

168 -Qual das opes abaixo um exemplo de host ? a) b) c) d) Estao de trabalho. Roteador. Switch. Bridge.

169 - Modelo TCP/IP, tambm conhecido como Modelo DoD (Department of Defense), possui quais camadas de comunicao? a) b) c) d) Fsica, Enlace, Rede, Transporte e Aplicao. Fsica, Enlace, Internet, Transporte e Aplicao. Fsica, Enlace, Internet, e Aplicao. Acesso a rede, Internet, Transporte e Aplicao

170 - O que pode ser considerado uma limitao do NAT (Network Address Translation) esttico em comparao com o dinmico? a) b) c) d) S permite a converso de conexes abertas para as portas privilegiadas do TCP/IP. Todas as mquinas a serem convertidas precisam estar localizadas em um mesmo segmento da rede. O campo de dados do pacote no pode ser cifrado. Quando usado na traduo de pacotes saindo de uma rede invlida, um endereo vlido necessrio para cada endereo invlido sendo convertido.

171 - Qual dos seguintes protocolos pode ser utilizado para autenticar usurios em uma rede Wi-Fi? a) b) c) d) WEP (Wireless Equivalent Privacy). WPA (Wi-Fi Protected Access). WPA2 (Wi-Fi Protected Access 2). EAP-TLS (Extensible Authentication Protocol-Transport Layer Security).

172 - Uma prtica comum de segurana replicar as informaes de log dos servidores para uma mquina dedicada (Syslog Host). A afirmao : a) b) c) d) Falsa, pois expe os logs de outros servidores em caso de invaso. Verdadeira, pois isola os logs em caso de invaso. Falsa, pois aumenta o nmero de arquivos de log analisados. Verdadeira, pois separa os logs do sistema de logs de uma invaso.

173 - Qual dos seguintes protocolos oferece single sign-on? a) b) c) d) LM (Lan Manager). NTLM (NT Lan Manager). NTLMv2 (NT Lan Manger version 2). Kerberos.

174 - Qual das opes abaixo melhor descreve o conceito do reference monitor ? a) b) c) d) Um mecanismo utilizado para autenticar os usurios. Um componente da arquitetura dos sistemas operacionais responsvel por mediar as operaes de controle de acesso. A implementao do security kernel do sistema operacional. um componente que s existe em sistemas que implementam Mandatory Access Control (MAC).

175 - Quais os principios basicos da segurana da informao segundo a ISO?IEC 17799:2005 ? a) Confidencialidade, autenticidade, integridade b) Nenhuma das alternativas c) Confidencialidade, integridade, rastreabilidade d) Legalidade, integridade, disponibilidade 176 - Alm de impactos e vulnerabilidades, que outro fator relevante analisado em uma anlise de riscos ? a) Ameaas b) Danos a imagem da organizao c) Perdas financeiras d) Probabilidades 177 - Partindo da premissa que as informaes fluem pelas organizaes nos mais diversos formatos (pabel, fax, voz, e-mails, etc.) escolha a opo que melhor representa os momentos nos quuais a segurana deve ser observada. a) Manuseio, armazenamento, transporte, divulgao b) Manuseio, divulgao, transporte e revisao c) Criao, divulgao, poblicao, revisao d) Criao, manuseio, armazenamento, transporte e descarte

178 - Correlacione as colunas e selecione a alternativa correta : 1 2 3 4 5 ( ( ( ( ( ) ) ) ) ) Valor Ameaa Vulnerabilidade Impacto Risco Dano trazido pela concretizao de um incidente Medio de probabilidade combinada com impacto Importncia de um ativo Tudo aquilo com potencial para causar dano aos ativos Ausncia de mecanismo de proteo

a) 1,2,3,4,5 b) 4,5,1,2,3 c) 5,1,4,3,2 d) 2,5,4,1,3 179 - Associe as categorias s vulnerabilidades e marque a alternativa correta : 1 2 3 4 5 ( ( ( ( ( ) ) ) ) ) Fsicas Naturais Hardware Software Humana Falta de atualizao de firmware Falta de aplicao de patches conforme recomendao do fabricante Terremotos e inundaes Usuriso desrespeitando normas de segurana Extintor de incndio com prazo de validade vencido

a) 3,5,2,1,4 b) 3,4,2,5,1 c) 3,1,2,4,5 d) 4,3,2,1,5 180 - Marque qual a alternativa correta. Qual o maior obstculo ao aumento dos investimentos em Segurana da Informao dentro das Organizaes ? a) Impossibilidade de justificar os benefcios dos investimentos b) A falta de argumentos que justifiquem os investimentos c) A falta de conscientizao da alta administrao d) Os altos preos praticados pelos fabricantes de solues

181 - Relacione o nvel de classificao com as medidas preventivas durante a fase de armazenamento da informao no formato fsico (impresso) e marque a alternativa correta. 1 2 3 4 Irrestrito Protegido Confidencial Secreta

( ) Guardado em zona segura com controle de acesso. Trilha de acesso para todos os pontos de acesso (assinatura) ( ) Sem requisitos especiais ( ) Guardado em local seguro com acesso restrito ( ) Guardado em local seguro (sala trancada) a) 3,1,4,2 b) 2,1,3,4 c) 1,2,3,4 d) 4,1,3,2 182 - Relacione o nvel de classificao com as medidas preventivas durante a fase de transmisso da informao no formato eletrnico. 1 2 3 4 ( ( ( ( ( ) ) ) ) ) Irrestrito Protegido Confidencial e secreta Secreta Auditoria completa do processo Criptografia ou senhas em arquivos transmitidos utilizando uma rota segura Sem requisitos especiais Criptografia ou senhas em arquivos transmitidos Confirmao de recebimento

a) 4,2,3,2,4 b) 1,3,1,2,4 c) 4,3,1,2,3 d) 3,3,2,1,4

183 - Jos faz parte do corpo de colaboradores da empresa XPTO desde 2009, tendo sido admitido para exercer a funo de assistente de marketing. Em seguida foi alocado na rea de contabilidade e atualmente foi promovido como coordenador de rea de compras, herdando os acessos e atividades das funes anteriores. Identifique abaixo quais so aos principais problemas relacionados a esta situao e depois marque a alternativa correta. 1 2 3 4 5 Falta de segregao de funes Privilgio mnimo Princcio da segurana universal Fraude Controle de acesso

a) as alternativas 2 e 4 esto corretas b) as alternativas 2 e 3 esto corretas c) as alternativas 2 e 5 esto corretas d) as alternativas 1 e 5 esto corretas b) as alternativas 1 e 4 esto corretas 184 - Com relao ao PDCA, observe cada esquema abaixo e marque V se estiver correto e F se estiver errado : Escolha de escopo Analise de risco ----> Controles de segurana Tcnicas e modelos especficos a) Verdadeiro b) Falso

PLANEJAMENTO ----->

Planejamento Formal

185 - Com relao ao PDCA, observe cada esquema abaixo e marque V se estiver correto e F se estiver errado : Planejamento Formal a) Verdadeiro b) Falso 186 - Com relao ao PDCA, observe cada esquema abaixo e marque V se estiver correto e F se estiver errado : -----> IMPLEMENTAO -----> Concretizao dos eventos planejados

Concretizao dos eventos planejados ---> VERIFICAO ----> leitura dos indicadores deciso quanto a adequao do processo a) Verdadeiro b) Falso

187 - Com relao ao PDCA, observe cada esquema abaixo e marque V se estiver correto e F se estiver errado : Leitura dos indicadores ----> AO ---> Aes de adequao do processo Deciso quanto a adequao do processo a) Verdadeiro b) Falso 188 - Considerando que a empresa XPTO tem segurana da informao implementada e, em funo disto, temos como resultado os seguintes indicadores : a) Tipos de incidentes ms b) Nmero de acessos concedidos c) Nmero de acessos cancelados d) Nmero de acessos revisados Dessa forma use B, para as medidas Bsicas e D para as medidas Derivativas ( ( ( ( ( ( ( ( ) ) ) ) ) ) ) ) Nmero de incidentes ms Tipo de Incidentes mes Prejuizo gerado por incidente Nmero de acessos concedidos Tipo de cdigo malicioso Nmero de acessos cancelados Quantidade de tempo indisponvel por ataque de negao de servio Nmero de acessos revisados

a) B,D,D,B,D,B,D,B b) B,B,D,B,B,B,D,B c) B,B,D,B,D,B,D,B d) B,D,D,B,D,B,D,D e) D,B,D,B,D,B,D,D 189 - Marque as alternativas referentes aos entregveis de Gesto de Riscos: 1 - Proteo de todos os ativos de informao 2 - Assegurar que os servios de TI e infra-estrutura podem resistir e se recuperar de falhas devido ao erro, ataque deliberado ou desastre 3 - Identificar, monitorar e reportar as vulnerabilidades de segurana e os incidentes 4 - Realizar avaliaes peridicas de risco com dirigentes e coloboradores chave 5 - Manter a integridade da informao e infra-estrutura de processamento. Permitir o acesso a dados crticos e sensveis apenas aos usurios autorizados. a) 2,3,4 b) 1,4,5 c) 1,3,4 d) 1,2,4

190 - Marque as alternativas referentes aos entregveis de Performance: 1 2 3 4 5 6 Minimizar a probabilidade de interrupo do servio Numeros de direitos de acesso autorizado, revogado ou alterado reset Numero e tipo de contas obsoletas Nmero e tipo de incidentes de segurana Certifique-se que os servios esto disponveis conforme necessrio Certifique-se que as transaes comerciais automatizadas e de intercmbio de dados so confives

a) 1,2,4 b) 2,4,5 c) 1,5,6 d) 2,3,4 e) 2,3,5 191 - Correlacione as columas associando as atividads s estapas previstas na norma ISO/TR18044: 1 2 3 4 Plano e preparo Uso Reviso Melhorias

( ) Identificar as lies aprendidas com o incidente ( ) Desenvolver e documentar uma poltica de gesto de incidentes de segurana da informao com o apoio da alta direo ( ) Revisar anlise de risco e processo de gesto ecistente na organizao ( ) Refazer anlise forense (quando necessrio) ( ) Caso o incidente esteja sob controle, conduzir atividades que requeiram mais tempo. Se o incidente estiver fora de controle, acionar procedimentos de crise e comunicar a existncia do incidente e qualquer detalhe que seja relevante para outros colaboradores internos e externos. ( ) Desenvolver um esquema de gesto de incidentes de segurana da informao compreensvel para suportar a referida poltica. Formulrios, procedimentos e ferramentas de suporte, para a deteco, notificao, avaliao, classificao e resposta aos incidentes de segurana da informao devem estar em consonncia com o esquema. ( ) Anlise forense ( ) Atualizar as politicas de segurana da informao e a analise de risco com referncias ao esquema de gestao de incidentes de segurana da informao ( ) Estabelecer uma organizao estrutural para gesto de incidentes de segurana da informao como, por exemplo, o CSIRT, com papel e responsabilidades definidas. ( ) Aplicar as melhorias j detectadas em todo esquema de gesto de incidentes de segurana da informao ( ) Responder aos incidentes de segurana de informao imediatamente, conforme SLA definido em documento ( ) Identificar melhorias para implementao a) 2,1,4,3,2,4,2,1,1,4,2,3 b) 4,1,2,2,2,1,2,1,1,4,2,1 c) 1,1,4,3,3,4,2,1,2,4,2,4 d) 2,1,4,3,2,1,2,2,1,4,2,1 e) 3,1,4,3,2,1,2,1,1,4,2,3

192 - O empregado utilizou o seu mail corporativo para enviar mensagens no relacionadas as atividades laborais e ainda com contedo ofensivo a terceiros. O empregador foi processado pelas vtimas das ofensas e condenado ao pagamento de indenizao por danos morais. Qual alternativa melhor se adequa para explicar a referida condenao da empresa ? a) A condenao foi equivocada, pois no h lei que regulamente esse assunto b) Calnia, crime previsto no art. 138 do Cdigo Penal c) Poder de direo do empregador sobre o empregado, previsto no art. 2 da CLT d) Responsabilidade objetiva do empregador sobre o empregado no horrio de trabalho, prevista no art. 932, III do Cdigo Civil 193 - O empregador pode monitorar as atividades dos empregados quando da utilizao dos recursos computacionais da empresa ? a) Sim, desde que avise aos empregados sobre o monitoramento e no o exera sobre os mails particulares b) Sim, sem qualquer restrio c) No, pois a CLT no regulamenta este assunto d) No, pois esta prtica pode configurar violao de privacidade 194 - O TST proferiu inmeras decises permitindo o monitoramento de mails, com base nos seguintes argumentos : a) O empregador tem o direito de propriedade sobre seus dados e recursos computacionais, bem como titular do poder de direo sobre as atividades dos empregados b) O empregador pode agir como quiser em ambiente corporativo, tendo direito de acessar qualquer dado, seja pessoal do empregado ou corporativo c) O empregado no tem direito a privacidade d) O TST no se pronunciou sobre esse assunto 195 - O que RISI e qual sua finalidade ? a) Regras informticas dos sistemas internos, tem por finalidade obrigar os empregados a renunciarem o seu direito a privacidade. b) Regulamento interno de segurana da informao, tem por finalidade atribuir aos usurios responsabilidades, direitos e expectativas de acesso, penalidades, e criar cultura de proteo aos sistemas c) Rotinas internas de segurana da informao, tm por finalidade implementar rotinas para gesto de segurana da informao em ambiente corporativo d) Riscos de infra-estrutura e segurana interna, tem por finalidade informar ao departamento de segurana da empresa as vulnerabilidades de infra-estrutura. 196 - O que TUSI e qual a sua finalidade ? a) Trabalho do usurio sobre os sistemas internos, tem por finalidade estudar as rotinas dos usurios durante a jornada de trabalho b) Tipos de utilizao dos sistemas de informao, tem por finalidade classificar os nveis de utilizao dos recursos computacionais corporativos c) Termo de utilizao da segurana da informao, tem por finalidade orientar os usurios sobre a importncia da segurana da informao d) Termos de uso dos sistemas internos, tem por finalidade legitimar o controle de atividades pelo empregador, visando reforar a inexistncia de expectativa de privacidade dos usurios

197 - O empregado postou informaes confidenciais da empresa em seu blog na internet. Ele pode ser demitido por justa causa ? a) No, porque esta conduta no est prevista em nenhuma das hipteses previstas no art. 482 da CLT b) No, porque a CLT no menciona a postagem em blogs como motivo de demisso por justa causa e sim a violao de segredos por meio fsico. c) Sim, com base na alnea "i" do artigo 482 da CLT, em razo do abandono de emprego d) Sim, com base na alnea "g" do artigo 482 da CLT, em razo da violao do segredo da empresa 198 - A clusula contratual denominada No Disclosure Agreement (NDA), tem por finalidade : a) garantir a integridade b) Garantir a confidencialidade e vedar a concorrncia formalmente c) Garantir a autoria dos documentos d) Garantir a disponibilidade 199 - A empresa disponibiliza conexo wireless internet, sem qualquer tipo de proteo ou autenticao para controle de acesso. Um terceiro, utilizando desta conexo sem fio, enviou mails ofensivos para diversas pessoas, as quais processaram a empresa que forneceu o acesso, vez que foi identificada pelo provedor como a responsvel pela conexo de origem. 1 - A empresa pode ser condenada a ressarcir pelos danos causados, porque existe uma Lei regulamentando especificamente esse tipo de acesso a internet 2 - A empresa no pode ser condenada, pois no existe Lei regulamentando esse tipo de acesso a internet 3 - A empresa pode ser condenada a ressarcir os danos, com base na responsabilidade objetiva Sobre as informaes acima, quais esto corretas ? a) apenas a 3 est correta b) Nenhuma est correta c) Apenas a 1 est correta d) Apenas a 2 e 3 esto corretas 200 - A legislao sobre o direito autoral tem carter restritivo. Isso significa dizer : a) Tudo proibido a no ser que expressamente permitido pelo autor ou previsto em lei b) Apenas algumas pessoas beneficiam-se de seus efeitos c) Tudo permitido, apenas a lei fala o que proibido d) Existe restrio para o autor publicar a sua obra 201 - Uma empresa utiliza softwares piratas e seus proprietrios tem plena cincia disso. Quais os riscos que est sujeita ? a) A empresa no est sujeita a nenhum tipo de risco, pois no comercializou o software b) A empresa no est sujeita a nenhum tipo de risco pois est utilizando o software sem obteno de lucro, mas somente para uso privado c) No h legislao aplicvel para o caso em questo. Assim pelo princpio da legalidade, no h responsabilidade da empresa e nem dos seus proprietrios. d) A empresa est sujeita a sofrer a ao judicial por violao do direito do autor de software e seus proprietrios podem responder criminalmente

202 - Qual o meio mais seguro de preservar a prova de um crime eletrnico existente em um site da internet ? a) Print screen da pgina b) Testemunhas, comprovando a existncia da pgina c) Lavratura de uma ata notarial da pgina, por Tabelio, e requerimento ao provedor de hospedagem do site que preserve o contedo original dos ilcitos antes de remov-lo d) Impresso da pgina 203 - possvel rastrear e identificar o responsvel por um acesso a internet que gerou uma fraude eletrnica ? a) possvel, por meio de obteno dos dados junto ao provedor de acesso, aps ordem judicial de quebra de sigilo b) No possvel identificar pessoas na internet, pois todos so annimos c) Sim, pois os provedores de acesso podem informar os dados extrajudicialmente, sendo possvel obter estas informaes no prprio portal d) No possvel, pois a legislao veda os registros desses acessos por parte dos provedores para proteger a privacidade dos usurios 204 - Sobre a interceptao de comunicao de dados telemticos e informticos, somente ser admissvel : 1 - Quando no houver indcios razoveis de autoria dou participante em crime 2 - Quando solicitada a interceptao extrajudicialmente 3 - Quando solicitada extrajudicialmente e o fato investigado constituir crime, punido no mximo com pena de deteno Quais dessas alternativas so falsas ? a) 1 e 2 b) 1,2 e 3 c) 2 e 3 d) Nenhuma afirmao falsa 205 - Sobre o tempo de guarda de logs, qual afirmao verdadeira : a) Existe jurisprudncia no Brasil que entende ser adequada a guarda de logs por 3 anos, em razo da recomendao do Comit Gestor da Internet b) Existe Lei no Brasil regulamentando a guarda de logs por 7 anos c) Existe Lei no Brasil regulamentando a guarda de logs por 5 anos d) No existe lei sobre a guarda de logs, porm existe uma recomendao da ONU para a guarda de logs por 6 meses

206 - A certificao digital no Brasil, foi regulamentada pela Medida Provisria 2.200, de 28 de junho de 2001. 1 - A certificao digital autentica documentos e capaz de gerar conseqncias jurdicas, pois prova ao destinatrio que o subscritor assinou o documento 2 - A certificao digital no gera nenhum efeito jurdico ao documento, tratando-se apenas de uma garantia, criada para segurana interna das empresas 3 - A certificao digital torna o contedo do documento imutvel Quais dessas afirmaes so verdadeiras ? a) 1 e 2 b) 2 e 3 c) Todas so verdadeiras d) 1 e 3 207 - Um dos princpios mais importantes do Direito Penal diz que : a) No ha crime sem Lei anterior que o defina b) Todas as condutas julgadas imprprias para a construo de uma sociedade so consideradas crime c) H analogia para condenar uma pessoa em razo da prtica de ato parecido com um crime previsto no Cdigo Penal d) H crime sem lei anterior que o defina, quando a conduta for imoral 208 - Qual dos tipos penais, descritos abaixo, so considerados crimes contra a honra e podem ocorrer atravs dos meios eletrnicos ? a) Calnia, difamao e injria b) Roubo c) Violao de domiclio d) Extorso 209 - O Regulamento Interno de Segurana da Informao, pode criar crimes para condutas que ocorram dentro da empresa ? a) aconselhvel que o RISI lembre os usurios sobre os crimes empresariais mais comuns, como violao de segredo profissional e concorrncia desleal, mas a regra no Brasil dispe que um crime s pode ser criado por Lei b) Sim, desde que o funcionrio tenha cincia inequvoca c) Sim, mas somente nos casos em que colocar a empresa em muito risco d) A empresa no pode criar crimes em seu RISI, mas poder criar qualquer outra punio, como retaliaes fsicas 210 - Sobre a legislao penal Brasileira referente aos crimes eletrnicos, qual a afirmao abaixo est correta ? a) Apenas 5% dos crimes praticados no Brasil se enquadram aos tipos penais existentes b) No existe proviso legal quanto aos crimes eletrnicos, por isso a internet uma terra sem lei c) Cerca de 95% dos crimes praticados no Brasil se enquadram aos tipos penais existentes d) O Direito Penal utiliza de analogia para tipificar os crimes praticados pela internet

211 - Sobre as convenes internacionais, qual a informao abaixo est correta ? a) Os Estados Unidos decidiram que o empregador no pode ser responsabilizado por mails de contedo ofensivo que em nada se relacionam com a atividade da empresa b) O ponto principal da Conveno de Budapeste sobre cybercrimes evitar o crime de pornografia infantil c) O Reino Unido permite a empresa a interceptar qualquer tipo de comunicao entre seus empregados, sem que haja sequer o conhecimento dos mesmos sobre tal prtica corporativa d) Atualmente, existem mais de 43 pases signatrios da Conveno de Budapeste sobre cybercrimes, porm o Brasil no um deles 212 - Um trabalhador da companhia XPTO descobre que a data de validade de uma poltica foi alterada sem seu conhecimento. Ela a nica pessoa autorizada a fazer isso. Ela relata este incidente de segurana ao Helpdesk. O atendente do Helpdesk registra as informaes sobre esse incidente : Data e hora descrio do incidente Possveis conseqncias do incidente Que informao importante sobre o incidente est faltando ? a) Nome do pacote do software b) Nmero do PC c) Nome da pessoa que denunciou o incidente d) Uma lista de pessoas que foram informadas sobre o incidente 213 - No ciclo de incidente ha quatro etapas sucessivas. Qual a ordem dessas etapas ? a) Incidente, ameaa, dano, recuperao b) Ameaa, dano, incidente, recuperao c) Ameaa, incidente, dano, recuperao d) Incidente, recuperao, dano, ameaa 214 - O gerenciamento de risco pode se dividir em alguns conceitos para melhor compreenso. Abaixo temos algumas descries destes conceitos : 1 - Riscos : a probabilidade de uma ameaa explorar uma vulnerabilidade causando prejuzos 2 - Anlise de Risco : uma avaliao dos recursos de informao de uma organizao, seus controles e ameaas 3 - Ameaa : tudo que tem potencial de causar algum risco aos ativos 4 - Vulnerabilidade : cria situao que pode ser explorada por um risco, acarretando prejuzos 5 - Controle : maneira de tentar reduzir as causa dos riscos, evitando, deste modo, sua ocorrncia ou pelo menos, reduzindo a freqncia de ocorrncia Sobre as informaes acima, quais esto corretas ? a) 2,3 e 4 b) Todas as afirmaes esto corretas c) 1, 2 e 5 d) 1 e 5

215 - Qual das afirmaes sobre anlise de risco a correta a) Riscos que so apresentados em uma anlise de riscos podem ser classificados b) Em uma anlise de risco todos os detalhes tem que ser considerados c) A anlise de risco limita-se a disponibilidade d) a Analise de risco simples de efetuar atravs do preenchimento de um pequeno questionrio padro com perguntas padro 216 - Quais caractersticas da criptografia moderna estavam presentes na mquina Enigma? a) Livro de cdigos, substituio e transposio. b) Transposio, chaves simtricas e chave da mensagem. c) Substituio, transposio e chaves simtricas. d) Chaves simtricas, substituio e chave da mensagem. 217 - Quais so os algoritmos assimtricos mais utilizados na atualidade? a) SHA-1, RSA b) Diffie-Helman e RSA c) DES, RSA e SHA-1 d) SHA-1 e Diffie-Hellman

218 - Quais so os principais componentes de uma ICP (Infra-estrutura de Chaves Pblicas) vlida: a) Autoridade Registradora, Autoridade Certificadora, Certificados digitais. b) Autoridade Certificadora, certificados digitais e poltica de certificao. c) Autoridade Registradora, usurios e certificados digitais. d) Autoridade Certificadora, Autoridade Registradora e poltica de certificao. 219 - A principal deficincia da criptografia simtrica, se comparada assimtrica, : a) A complexidade de implementao dos algoritmos simtricos. b) O alto consumo de processamento para a codificao/decodificao. c) A necessidade de trabalhar com chaves consideravelmente maiores. d) A necessidade de um canal seguro para a troca prvia das chaves. 220 - Qual das funcionalidades abaixo no provida diretamente pela criptografia? a) Integridade b) Disponibilidade c) Confidencialidade d) Irretratabilidade (no-repdio) 221 - Qual dos algoritmos abaixo utiliza cifra de fluxo (Stream Cipher) a) MD5 b) RSA c) RC4 d) AES

222 - Uma entrada de tamanho varivel produz uma sada de tamanho fixo. Qual dos algoritmos abaixo melhor representa esta operao? a) RC4 b) SHA-1 c) RSA d) AES 223 - Dentre os descritos abaixo, qual o melhor meio de armazenamento para uma chave privada? a) Mdia removvel b) Token USB c) Disco rgido local d) Dispositivos de autenticao biomtrica 224 - Alm de determinar quais recursos esto disponveis para acesso, quais so os usurios que podem acess-los, as tecnologias de controle de acesso lgico so utilizadas para: a) Garantir a eficcia do processo de identificao e autenticao. b) Registrar as aes praticadas pelos usurios. c) Impedir o acesso no autorizado aos recursos. d) Autorizar os usurios para que os acessos possam ser efetivados 225 - A biometria uma tecnologia que pode ser utilizada tanto no processo de identificao, como no processo de autenticao. a) Falso, a biometria quando usada com outro mecanismo de autenticao torna a tecnologia vulnervel. b) Verdadeiro, pois a tecnologia oferece mecanismos que podem ser usados em ambos os processos. c) Falso, a biometria incapaz de oferecer informaes suficientes para identificao. d) Verdadeiro, porm, a biometria deve ser utilizada para os dois processos simultaneamente. 226 - Os trs principais tipos de tecnologias utilizadas no processo de autenticao so: a) Conhecimento, senhas e biometria. b) Posse, tokens e biometria. c) Conhecimento, posse e tokens. d) Conhecimento, posse e biometria. 227 - O conceito de single sign-on prev que: a) Os usurios se autentiquem utilizando certificados digitais. b) Os usurios se autentiquem somente uma vez e possam acessar todos os recursos disponveis a eles. c) Os usurios possam acessar os sistemas que tm permisso sem um processo formal de autenticao. d) Os usurios se autentiquem em cada sistema utilizando uma base de dados centralizada. 228 - Qual os mecanismos utilizados na autenticao do Windows a) NTLM, LDAP e Kerberos b) SAM, NIS e NTLM c) NIS, Kerberos e NTLM d) NTLM, Kerberos e NIS

229 - O que o POSIX a) Uma verso do UNIX criada pela Microsoft na dcada de 80. b) Nenhuma das alternativas. c) Uma verso do UNIX compatvel com todos os outros. d) Um conjunto de normas para padronizao de bibliotecas do UNIX desenvolvido pelo IEEE. 230 - Podemos considerar a arquitetura Windows NT como: a) Uma verso do Windows desenvolvida para ser executada em servidores. b) Uma linha do Windows desenvolvida a partir do OS/2 da Microsoft/IBM. c) Nenhuma das alternativas. d) Uma famlia do Windows que substituiu a famlia 9x e tornou-se a nica linha de S.O. da Microsoft. 231 - Antes de se instalar um servidor deve-se definir o equipamento a ser utilizado de acordo com: a) Sistema operacional, banco de dados e sistema a ser executado. b) Sistema operacional, finalidade e nmero de acessos. c) Nmero de acessos, finalidade, servios oferecidos. d) Finalidade e sistema a ser utilizado. 232 - O esquema de "Ring protection" dos processadores Intel prev a seguinte distribuio: a) Anel 3 para o Kernel, 2 para usurios e 1 e 0 para drivers. b) Anel 3 para o Kernel, 2 para administradores, 1 para drivers e 0 para usurios. c) Anel 3 para o Kernel, 2 e 1 para drivers e 0 para usurios. d) Anel 0 para o Kernel, 1 e 2 para drivers e 3 para usurios. 233 - Qual a finalidade da modelagem de ameaas: a) Nenhuma das alternativas. b) Identificar as ameaas em uma superfcie de ataque. c) Criar softwares maliciosos. d) Identificar as ameaas, analisar a probabilidade e avaliar a proteo. 234 - Identificar os servios que sero utilizados, Qual das opes abaixo uma norma internacional sobre segurana computacional? a) ISO 15408 (Common Criteria) b) ISO 27005 c) ISO 27002 d) TCSEC (Trusted Computer System Evaluation Criteria) 235 - Qual das opes abaixo um exemplo de host? a) Switch b) Bridge c) Servidor d) Roteador

236 - Qual dos seguintes mtodos de transmisso costuma ser empregado em tecnologias de alta disponibilidade e redundncia de rede? a) Multicast b) Nenhuma das respostas c) Unicast d) Broadcast 237 - A rede DMZ (Demilitarized Zone) deve ser utilizada para oferecer que tipo de soluo de segurana para a rede? a) Segmento responsvel por todos os servidores da organizao. b) Segmento responsvel pela segregao dos servidores que so acessados externamente. c) Segmento responsvel pela utilizao de IDSs (Intrusion Detection System). d) Segmento responsvel pela filtragem de todos os pacotes. 238 - Uma prtica comum de segurana replicar as informaes de log dos servidores para uma mquina dedicada (Syslog Host). A afirmao : a) Falsa, pois expe os logs de outros servidores em caso de invaso. b) Falsa, pois aumenta o nmero de arquivos de log analisados. c) Verdadeira, pois isola os logs em caso de invaso. d) Verdadeira, pois separa os logs do sistema de logs de uma invaso. 239 - Qual dos seguintes protocolos pode ser utilizado para a criptografia de uma rede Wi-Fi? a) WEP (Wireless Equivalent Privacy). b) EAP-TTLS c) EAP-CHAP d) EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). 240 - Qual das opes abaixo um exemplo de um protocolo MAC (Media Access Control)? a) CSMA (Carrier Sense Multiple Access) b) IPSec (IP Security) c) RADIUS (Remote Authentication Dial In User Service) d) Diameter. 241 - Qual equipamento abaixo no pode ser caracterizado como ponto nico de falha para uma rede? a) IPS (Intrusion Prevention System). b) IDS (Intrusion Detection System). c) Firewall. d) Roteador 242 - O Termo footprinting se refere a: a) Uma fase da invaso onde o atacante obtm informaes de banners, ou notas de rodap. b) A fase onde o atacante tenta conhecer o ambiente a ser invadido c) Nenhuma das alternativas. d) O rastro deixado pelo atacante na invaso

243 - O Termo pilfering, se refere a: a) Um filtro IP para bloqueio de invases b) A elevao de privilgios em uma mquina invadida c) Nenhuma das alternativas. d) A utilizao de uma mquina invadida na tentativa de se invadir outras 244 - As atualizaes de segurana, devem ser instaladas em: a) Sistemas que tiveram falhas de segurana exploradas b) Sistemas Windows e Unix c) Sistemas Windows, Unix e Aplicaes d) Sistemas Windows e Aplicaes 245 - O termo exploit, refere-se a: a) Dados enviados para explorar falhas em sistemas b) O ato de explorar um sistema operacional c) Software desenvolvido para explorar falhas em outros softwares d) Software desenvolvido para explorar sistemas operacionais 246 - Os tipos de teste de invaso mais conhecidos so: a) Spoofing e Exploting b) TDI, Exploit e Spoofing c) White Hat, Gray Hat e Black Hat d) White Box e Black Box 247 - So ameaas comuns segurana fsica a) Terrorismo, fogo, furtos, engenharia social b) Roubos, engenharia social, vazamentos e terremotos c) Roubos, furtos, sequestros, chantagens e terremotos d) Engenharia social, furtos, enchentes e fogo 248 - Os circuitos de CFTV podem capturar imagens em quais nveis a) Deteco, reconhecimento e identificao b) Vultuoso, diferencial e identificao c) VGA, SVGA, HDTV d) VGA, 720p, 1080p 249 - Os dispositivos de proteo contra incndio podem ser voltados para: a) Deteco, Conteno, Supresso e Extino b) Preveno, Conteno, Supresso e Extino c) Preveno, Deteco, Conteno e Supresso d) Preveno, Conteno, Supresso e Recuperao

250 - Algumas medidas que podem ser tomadas para proteger as informaes nas medias de armazenamento so: a) Criptografia, reutilizao e armazenamento off-site b) Criptografia, armazenamento off-site e destruio c) Nenhuma das alternativas. d) Criptografia, controle de entrada e sada e reutilizao 251 - Sob que condio deve-se usar um extintor de incndio classe C ao invs de um extintor classe A? a) Quando o incndio de pequenas propores. b) Quando o incndio est localizado em uma rea restrita. c) Quando o incndio est no seu estagio inicial. d) Quando o incndio envolve equipamentos eltricos. 252 - O mecanismo de extino de incndios conhecido por "dry pipe" : a) Um sistema de sprinklers que utiliza p seco em vez de gua. b) Um sistema de sprinklers onde a gua no entra nos canos at que um sensor indique que existe fogo c) Um sistema de dixido de carbono usado para extinguir o fogo. d) Um tipo de gs especial usado exclusivamente para incndios em datacenters. 253 - Com relao a procedimentos de contratao de pessoal associados Segurana da Informao, marque a alternativa correta: I. II. III. Confirmao de referncias e registros educacionais no importante porque o funcionrio apresenta a cpia do documento de escolaridade. A criao das contas dos usurios deve obedecer a todas as polticas de segurana. Incluso de segurana nas responsabilidades de trabalho importante, pois deixa clara quais so as regras da empresa sobre esse aspecto.

a) As alternativas I, III esto corretas. b) As alternativas I, III esto corretas. c) As alternativas II, III esto corretas. d) As alternativas I, II esto corretas. 254 - Qual frase abaixo correta: a) Computao forense refere-se a dados em computadores, e forense digital em dispositivos de digitais b) Psiquiatria, odontologia, medicina e computao so reas que podem ser utilizadas como cincia forense c) A Cincia forense estuda as formas de se extrair evidncias de equipamentos eletrnicos d) Nenhuma das alternativas 255 - O First responder a) A pessoa mais capacitada a responder um incidente. b) O lder da equipe de resposta. c) A primeira pessoa a ver o incidente. d) A primeira pessoa a responder um incidente.

256 - A Sequncia correta a seguida em um incidente : a) Anlise de evidncias, preservao do ambiente, coleta e preservao das evidncias. b) Preservao do ambiente, coleta, preservao e anlise de evidncias, apresentao do relatrio. c) Anlise, coleta e preservao de evidncias, e apresentao do relatrio. d) Anlise do ambiente, Coleta de evidncias e apresentao de relatrio. 257 - So locais onde podemos realizar uma investigao forense digital a) Memria, discos e impressos. b) Memria, discos e digitais. c) Discos, redes e dispositivos mveis. d) Memria, disco, rede e dispositivos mveis.

Aluno :

Data :

FOLHA DE RESPOSTAS 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257

GABARITO1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 a c a a a c b c b b e a b a b d b d a d a a h d e b a b c b 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 a a b b b b a b a b a b c b a b e b d a d c d a b a a b a c 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 a a a e b a b a a a d a b b b b e a b a a d a b d a c a a a 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 a a a a a a a b a b b c b b a h d a a b a a b e b d a a c e 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 b d a b d b d b a a d b d b d b b b c c d a a d c a a b d a 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 b d b a c d d b c b a c c a b c d a d d d b b b b a d b b c 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 d c d a a a a c c d e d a a b d d b a a d c a b a d a a a c 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 d c c d a a b a d b c b b b b d b a d d c d b c c a b c a a 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 b b d c c d c a c b d b c b d b d