Simulado Segurança Da Informação

Exame simulado
EXIN Fundamentos da Segurana da Informao baseados na norma ISO/IEC 27002
Edio junho 2013
Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN.
Exame simulado EXIN Fundamentos da Segurana da Informao baseados na norma ISO/IEC 27002 (ISFS.PR)
Contedo
Introduo Exame simulado Gabarito de respostas Avaliao 4 5 5 35
Introduo
Este o exame simulado de EXIN Fundamentos da Segurana da Informao baseados na norma ISO/IEC 27002. Este exame simulado consiste de 40 questes de mltipla escolha. Cada questo de mltipla escolha possui um certo nmero de alternativas de resposta, entre as quais apenas uma resposta a correta. O nmero mximo de pontos que pode ser obtido neste exame 40. Cada resposta correta vale um ponto. Para passar voc deve obter 26 pontos ou mais. O tempo permitido para este exame de 60 minutos. Nenhum direito pode ser requerido da informao aqui contida. Boa Sorte!
Exame simulado
1 de 40 Qual a relao entre dados e informaes? A. Dados so informaes estruturadas B. Informaes so o significado e o valor atribudos a uma coleo de dados 2 de 40 A fim de ter uma aplice de seguro de incndio, o departamento administrativo dev e determinar o valor dos dados que gerencia. Qual fator no importante para determinar o valor dos dados para uma organizao? A. O contedo dos dados. B. O grau em que, dados ausentes incompletos ou incorretos podem ser recuperados. C. A indispensabilidade dos dados para os processos de negcio. D. importncia dos processos de negcios que fazem uso dos dados. 3 de 40 Um hacker obtm acesso a um servidor Web e pode exibir um arquivo no servidor que contm nmeros de carto de crdito. Quais princpios de confidencialidade, integridade e disponibilidade (CIA) do arquivo de carto de crdito so violados? A. Disponibilidade B. Confidencialidade C. Integridade 4 de 40 Existe uma impressora de rede no corredor da empresa onde voc trabalha. Muitos funcionrios no vo pegar suas impresses imediatamente e deixam o material na impressora. Quais so as consequncias disto com relao confiabilidade das informaes? A. A integridade das informaes no pode mais ser garantida B. A disponibilidade das informaes no pode mais ser garantida C. A confidencialidade das informaes no pode mais ser garantida
5 de 40 Uma anlise de risco bem executada oferece uma grande quantidade de informaes teis. A anlise de risco tem quatro principais objetivos. Qual das abaixo no um dos quatro principais objetivos da anlise de risco? A. Identificao dos ativos e seus valores B. Implementao de contramedidas C. Estabelecimento do equilbrio entre os custos de um incidente e os cust os de medidas de segurana D. Determinao de vulnerabilidades e ameaas relevantes 6 de 40 Um departamento administrativo vai determinar os riscos aos quais est exposto. Como denominamos um possvel evento que possa comprometer a confiabilidade da informao? A. Dependncia B. Ameaa C. Vulnerabilidade D. Risco 7 de 40 Qual o propsito do gerenciamento de risco? A. Determinar a probabilidade de ocorrncia de um certo risco. B. Determinar os danos causados por possveis incidentes de segurana. C. Delinear as ameaas a que esto expostos os recursos de TI. D. Utilizar medidas para reduzir os riscos para um nvel aceitvel.
8 de 40 H alguns anos voc comeou sua empresa, que j cresceu de 1 para 20 empregados. As informaes de sua empresa valem mais e mais e j passaram os dias em que voc podia manter tudo em suas prprias mos. Voc est ciente de que precisa tomar medidas, mas quais? Voc contrata um consultor, que o aconselha a comear com uma anlise de risco qualitativa. O que uma anlise de risco qualitativa? A. Esta anlise segue um clculo preciso de probabilidade estatstica a fim de calcular a exata perda causada pelo dano B. Esta anlise baseada em cenrios e situaes e produz uma viso subjetiva de possvei s ameaas 9 de 40 Houve um incndio em uma filial da companhia Midwest Insurance. Os bombeiros chegaram rapidamente ao local e puderam apagar o fogo antes que se espalhasse e queimasse toda a instalao. O servidor, entretanto, foi destrudo pelo fogo. As fitas de segurana (backup) mantidas em outra sala derreteram e muitos outros documentos foram perdidos definitivamente. Qual um exemplo de dano indireto causado pelo incndio? A. Fitas de segurana (backup) derretidas B. Sistemas de computao queimados C. Documentos queimados D. Danos provocados pela gua dos extintores de incndio 10 de 40 Voc o proprietrio de uma companhia de correio (courier), SpeeDelivery. Voc realizou uma anlise de risco e agora quer determinar sua estratgia de risco. Voc decide tomar medidas contra os grandes riscos, mas no contra os pequenos riscos. Como chamada a estratgia de risco adotada neste caso? A. Reteno de risco B. Preveno de risco C. Reduo de risco 11 de 40 O que um exemplo de uma ameaa humana? A. Um pen drive que passa vrus para a rede. B. Muito p na sala do servidor. C. Um vazamento que causa uma falha no fornecimento de eletricidade.
12 de 40 O que um exemplo de uma ameaa humana? A. Um relmpago B. Fogo C. Phishing 13 de 40 Voc trabalha no escritrio de uma grande companhia. Voc recebe um telefonema de uma pessoa dizendo ser do helpdesk. Ela pede para que voc lhe diga sua senha. Que tipo de ameaa esta? A. Ameaa natural B. Ameaa organizacional C. Engenharia social 14 de 40 Um incndio interrompe os trabalhos da filial de uma empresa de seguros de sade. Os funcionrios so transferidos para escritrios vizinhos para continuar seu trabalho. No ciclo de vida do incidente, onde so encontrados os acordos stand-by (plano de contingncia)? A. Entre a ameaa e o incidente B. Entre a recuperao e a ameaa C. Entre os danos e a recuperao D. Entre o incidente e os danos 15 de 40 Informaes envolvem inmeros aspectos de confiabilidade, a qual constantemente ameaad A. Exemplos de ameaas so: um cabo se soltar, informaes alteradas por acidente, dados que so usados para fins particulares ou falsificados. Qual destes exemplos uma ameaa confidencialidade? A. Um cabo solto B. Excluso acidental de dados C. Utilizao privada de dados
16 de 40 Um funcionrio nega o envio de uma mensagem especfica. Qual o aspecto de confiabilidade da informao est em risco aqui? A. Disponibilidade B. Exatido C. Integridade D. Confidencialidade 17 de 40 Qual a melhor maneira de descrever o objetivo da poltica de segurana da informao? A. A poltica documenta a anlise de riscos e a busca de contramedidas. B. A poltica fornece orientao e apoio gesto em matria de segurana da informao. C. A poltica torna o plano de segurana concreto, fornecendo-lhe os detalhes necessrios. D. A poltica fornece percepes sobre as ameaas e as possveis consequncias. 18 de 40 Um incidente de segurana relacionado com um servidor Web relatado a um funcionrio do helpdesk. Sua colega tem mais experincia em servidores Web; ento, ele transfere o caso para ela. Qual termo descreve essa transferncia? A. Escalonamento funcional B. Escalonamento hierrquico
19 de 40 Uma funcionria trabalhador de uma companhia de seguros descobre que a data de validade de uma poltica foi alterada sem seu conhecimento. Ela a nica pessoa autorizada a fazer isso. Ela relata este incidente de segurana ao helpdesk. O atendente do helpdesk registra as seguintes informaes sobre este incidente: - data e hora - descrio do incidente - possveis consequncias do incidente Qual a informao mais importante sobre o incidente est faltando aqui? A. O nome da pessoa que denunciou o incidente B. O nome do pacote de software C. O nmero do PC D. Uma lista de pessoas que foram informadas sobre o incidente 20 de 40 No ciclo de incidente h quatro etapas sucessivas. Qual a etapa que sucede o incidente? A. Ameaa B. Dano C. Recuperao 21 de 40 Qual das seguintes medidas uma medida preventiva? A. Instalao de um sistema de registro de eventos (log) que permite que mudanas em um sistema sejam reconhecidas B. Desativao de todo trfego internet depois que um hacker ganhou acesso aos sistemas da companhia C. Armazenamento de informaes sigilosas em um cofre 22 de 40 Qual das opes abaixo uma medida repressiva em caso de incndio? A. Fazer um seguro contra incndio B. Apagar o fogo depois que o incndio for detectado pelo detector de incndio C. Reparar os danos causados pelo incndio
10
23 de 40 Qual o objetivo da classificao da informao? A. Criar um manual sobre como manusear dispositivos mveis B. Aplicar identificaes que facilitem o reconhecimento das informaes C. Estruturar as informaes de acordo com sua confidencialidade 24 de 40 Quem autorizado a mudar a classificao de um documento? A. O autor do documento B. O administrador do documento C. O proprietrio do documento D. O gerente do proprietrio do documento 25 de 40 O acesso sala de computadores est bloqueado por um leitor de crachs. Somente o Departamento de Gerenciamento de Sistemas tem um crach. Que tipo de medida de segurana essa? A. Uma medida de segurana corretiva B. Uma medida de segurana fsica C. Uma medida de segurana lgica D. Uma medida de segurana repressiva 26 de 40 A autenticao forte necessria para acessar reas altamente protegidas. Em caso de autenticao forte a identidade de uma pessoa verificada atravs de trs fatores. Qual fator verificado quando preciso mostrar um crach de acesso? A. Algo que voc B. Algo que voc tem C. Algo que voc sabe
11
27 de 40 Na segurana fsica, mltiplas zonas em expanso (anis de proteo) podem ser aplicadas, nas quais diferentes medidas podem ser adotadas. O que no um anel de proteo? A. Edifcio B. Anel mdio C. Objeto D. Anel externo 28 de 40 Qual das ameaas listadas abaixo pode ocorrer como resultado da ausncia de uma medida de segurana fsica? A. Um usurio pode ver os arquivos pertencentes a outro B. Um servidor desligado por causa de superaquecimento C. Um documento confidencial deixado na impressora D. Hackers podem entrar livremente na rede de computadores 29 de 40 Qual das seguintes medidas de segurana uma medida tcnica? A. Atribuio de informaes a um proprietrio B. Criptografia de arquivos C. Criao de uma poltica que define o que e no permitido no e-mail D. Armazenamento de senhas de gerenciamento do sistema em um cofre 30 de 40 As cpias de segurana (backup) do servidor central so mantidas na mesma sala fechada que o servidor. Que risco a organizao enfrenta? A. Se o servidor falhar, levar um longo tempo antes que o servidor esteja novamente em funcionamento. B. Em caso de incndio, impossvel recuperar o sistema ao seu estado anterior. C. Ningum responsvel pelos backups. D. Pessoas no autorizadas tm acesso fcil aos backups.
12
31 de 40 Que tipo de malware cria uma rede de computadores contaminados? A. Bomba Lgica B. Storm Worm ou Botnet C. Cavalo de Troia D. Spyware 32 de 40 Em uma organizao, o agente de segurana detecta que a estao de trabalho de um funcionrio est infectada com software malicioso. O software malicioso foi instalado como resultado de um ataque direcionado de phishing. Qual ao a mais benfica para evitar esses incidentes no futuro? A. Implementar a tecnologia MAC B. Iniciar um programa de conscientizao de segurana C. Atualizar as regras do firewall D. Atualizar as assinaturas do filtro de spam 33 de 40 Voc trabalha no departamento de TI de uma empresa de tamanho mdio. Informaes confidenciais tm cado em mos erradas por vrias vezes. Isso tem prejudicado a imagem da companhi\. Voc foi solicitado a propor medidas de segurana organizacional em laptops para sua companhia. Qual o primeiro passo que voc deveria dar? A. Formular uma poltica para tratar da segurana de dispositivos mveis (PDAs, laptops, smartphones, pen drive) B. Designar uma equipe de segurana C. Criptografar os discos rgidos dos laptops e mdias de armazenamento externo, como pen drives D. Estabelecer uma poltica de controle de acesso 34 de 40 Qual o nome do sistema que garante a coerncia da segurana da informao na organizao? A. Sistema de Gesto de Segurana da Informao (ISMS) B. Rootkit C. Regulamentos de segurana para informaes especiais do governo
13
35 de 40 Como se chama o processo de definir se a identidade de algum correta? A. Autenticao B. Autorizao C. Identificao 36 de 40 Por que necessrio manter um plano de recuperao de desastres atualizados e test -lo regularmente? A. A fim de sempre ter acesso s cpias de segurana (backups) recentes, que esto localizadas fora do escritrio B. Para ser capaz de lidar com as falhas que ocorrem diariamente C. Porque, de outra forma, na eventualidade de uma grande interrupo, as medidas tomadas e os procedimentos previstos podem no ser adequados ou podem estar desatualizados D. Porque isso exigido pela Lei de Proteo de Dados Pessoais 37 de 40 Com base em qual legislao algum pode pedir para inspecionar seus dados pessoais que tenham sido registrados? A. A Lei de Registros Pblicos B. A Lei de Proteo de Dados Pessoais C. A Lei de Crimes de Informtica D. A Lei de Acesso Pblico a Informaes do Governo 38 de 40 Qual a legislao ou ato regulatrio relacionado segurana da informao que pode ser imposto a todas as organizaes? A. Direito de Propriedade Intelectual B. ISO/IEC 27001:2005 C. ISO/IEC 27002:2005 D. Legislao de proteo de dados pessoais
14
39 de 40 Voc o proprietrio de uma companhia de correio (courier), SpeeDelivery. Voc emprega algumas pessoas que, enquanto esperam para fazer as entregas, podem realizar outras tarefas. Voc percebe, no entanto, que eles usam esse tempo para enviar e ler seus e-mails particulares e navegar na Internet. Em termos legais, de que forma o uso da internet e do e-mail pode ser melhor regulado? A. Instalando um aplicativo que impea o acesso a certos sites da Internet e que realizem filtragem em arquivos anexados a e-mails B. Elaborando um cdigo de conduta para o uso da internet e do e-mail, no qual os direitos e obrigaes tanto do empregador quanto dos empregados estejam claramente declarados C. Implementando normas de privacidade D. Instalando rastreadores de vrus 40 de 40 Em quais condies permitido a um empregador verificar se os servios de Internet e e-mail no ambiente de trabalho esto sendo utilizados para finalidades pessoais? A. O empregador poder fazer essa verificao, se o funcionrio for informado depois de cada sesso de verificao B. O empregador poder fazer essa verificao se os funcionrios forem informados que isso pode acontecer C. O empregador poder fazer essa verificao se um firewall tambm estiver instalado
15
Gabarito de respostas
1 de 40 Qual a relao entre dados e informaes? A. Dados so informaes estruturadas B. Informaes so o significado e o valor atribudos a uma coleo de dados A. Incorreto. Informaes so dados estruturados. B. Correto. Informaes so dados que tm um significado em algum contex to para seu receptor. ( 4.1) 2 de 40 A fim de ter uma aplice de seguro de incndio, o departamento administrativo deve determinar o valor dos dados que gerenci A. Qual fator no importante para determinar o valor dos dados para uma organizao? A. O contedo dos dados. B. O grau em que, dados ausentes incompletos ou incorretos podem ser recuperados. C. A indispensabilidade dos dados para os processos de negcio. D. importncia dos processos de negcios que fazem uso dos dados. A. Correto. O contedo dos dados no determina o seu valor. (5.4) B. Incorreto. Dados ausentes, incompletos ou incorretos podem ser facilmente recuperados so menos valiosos do que os dados que so difceis ou impossveis de recuperar. C. Incorreto. A indispensabilidade dos dados para os processos de negcios, em parte, determina o valor. D. Incorreto. Dados crticos para os processos importantes de negcio so, consequentemente, valiosos.
16
3 de 40 Um hacker obtm acesso a um servidor Web e pode exibir um arquivo no servidor que contm nmeros de carto de crdito. Quais princpios de confidencialidade, integridade e disponibilidade (CIA) do arquivo de carto de crdito so violados? A. Disponibilidade B. Confidencialidade C. Integridade A. Incorreto. O hacker no excluiu o arquivo nem negou acesso a entidades autorizadas, de forma alguma; portanto, a disponibilidade no foi prejudicad A. B. Correto. O hacker conseguiu ler o arquivo (confidencialidade). ( 4.1.1) C. Incorreto. No houve nenhuma informao alterada no arquivo de carto de crdito; portanto, a integridade do arquivo no foi violada. 4 de 40 Existe uma impressora de rede no corredor da empresa onde voc trabalha. Muitos funcionrios no vo pegar suas impresses imediatamente e deixam o material na impressora. Quais so as consequncias disto com relao confiabilidade das informaes? A. A integridade das informaes no pode mais ser garantida B. A disponibilidade das informaes no pode mais ser garantida C. A confidencialidade das informaes no pode mais ser garantida A. Incorreto. A integridade das informaes continua garantida, pois o material est impresso em papel. B. Incorreto. As informaes continuam disponveis no sistema utilizado para criar e imprimi -las. C. Correto. As informaes podem acabar sendo lidas por pessoas que no deveriam ter acesso a elas. ( 4.1)
17
5 de 40 Uma anlise de risco bem executada oferece uma grande quantidade de informaes teis. A anlise de risco tem quatro principais objetivos. Qual das abaixo no um dos quatro principais objetivos da anlise de risco? A. Identificao dos ativos e seus valores B. Implementao de contramedidas C. Estabelecimento do equilbrio entre os custos de um incidente e os custos de medidas de segurana D. Determinao de vulnerabilidades e ameaas relevantes A. Incorreto. Este um dos principais objetivos de uma anlise de risco. B. Correto. Este no um objetivo de uma anlise de risco. possvel selecionar medidas quando em uma anlise de risco se determina quais riscos exigem uma medida de seguran A. ( 5.5) C. Incorreto. Este um dos principais objetivos de uma anlise de risco. D. Incorreto. Este um dos principais objetivos de uma anlise de risco. 6 de 40 Um departamento administrativo vai determinar os riscos aos quais est exposto. Como denominamos um possvel evento que possa comprometer a confiabilidade da informao? A. Dependncia B. Ameaa C. Vulnerabilidade D. Risco A. Incorreto. A dependncia no um ev ento. B. Correto. A ameaa um evento possvel que pode comprometer a confiabilidade da informao. (5.1.2) C. Incorreto. A vulnerabilidade o grau em que um objeto est suscetvel a uma ameaa. D. Incorreto. Um risco o prejuzo mdio esperado durante um perodo de tempo como resultado de uma ou mais ameaas que levam a um comprometimento.
18
7 de 40 Qual o propsito do gerenciamento de risco? A. Determinar a probabilidade de ocorrncia de um certo risco. B. Determinar os danos causados por possveis incidentes de segurana. C. Delinear as ameaas a que esto expostos os recursos de TI. D. Utilizar medidas para reduzir os riscos para um nvel aceitvel. A. Incorreto. Isso faz parte da anlise de risco. B. Incorreto. Isso faz parte da anlise de risco. C. Incorreto. Isso faz parte da anlise de risco. D. Correto. O objetivo do gerenciamento de risco o de reduzir os riscos para um nvel aceitvel. (5.4) 8 de 40 H alguns anos voc comeou sua empresa, que j cresceu de 1 para 20 empregados. As informaes de sua empresa valem mais e mais e j passaram os dias em que voc podia manter tudo em suas prprias mos. Voc est ciente de que precisa tomar medidas, mas quais? Voc contrata um consultor, que o aconselha a comear com uma anlise de risco qualitativa. O que uma anlise de risco qualitativa? A. Esta anlise segue um clculo preciso de probabilidade estatstica a fim de calcular a exata perda causada pelo dano B. Esta anlise baseada em cenrios e situaes e produz uma viso subjetiva de possveis ameaas A. Incorreto. Em uma anlise de risco quantitativa, realiza-se uma tentativa de determinar numericamente as probabilidades de vrios eventos e a extenso provvel das perdas se determinado evento ocorrer. B. Correto. Uma anlise de risco qualitativa envolve a definio de diversas ameaas, determinando a extenso das vulnerabilidades e elaborando contramedidas, caso ocorra um ataque. ( 5.5)
19
9 de 40 Houve um incndio em uma filial da companhia Midwest Insuranc e. Os bombeiros chegaram rapidamente ao local e puderam apagar o fogo antes que se espalhasse e queimasse toda a instalao. O servidor, entretanto, foi destrudo pelo fogo. As fitas de segurana (backup) mantidas em outra sala derreteram e muitos outros documentos foram perdidos definitivamente. Qual um exemplo de dano indireto causado pelo incndio? A. Fitas de segurana (backup) derretidas B. Sistemas de computao queimados C. Documentos queimados D. Danos provocados pela gua dos extintores de incndio A. Incorreto. Fitas derretidas de backup so danos diretos causados pelo fogo. B. Incorreto. Sistemas de computador queimados so danos diretos causados pelo fogo. C. Incorreto. Documentos queimados so danos diretos causados pelo fogo. D. Correto. Danos provocados pela gua em funo dos extintores de incndio so danos indiretos causados pelo fogo. Este um efeito colateral de apagar o fogo, que visa minimizar os danos causados pelo fogo. ( 5.6) 10 de 40 Voc o proprietrio de uma companhia de correio (courier), SpeeDelivery. Voc realizou uma anlise de risco e agora quer determinar sua estratgia de risco. Voc decide tomar medidas contra os grandes riscos, mas no contra os pequenos riscos. Como chamada a estratgia de risco adotada neste caso? A. Reteno de risco B. Preveno de risco C. Reduo de risco A. Correto. Isso significa que medidas de segurana so adotadas para que as ameaas j no se manifestem ou, se isso acontecer, os danos resultantes sejam minimizados. (5.9) B. Incorreto. Isso significa que medidas so adotadas para que a ameaa seja neutralizada a tal ponto que j no provoque um incidente. C. Incorreto. Isso significa que certos riscos so aceitos, a administrao decide no fazer nada ou as medidas so, em geral, de natureza repressiva.
20
11 de 40 O que um exemplo de uma ameaa humana? A. Um pen drive que passa vrus para a rede. B. Muito p na sala do servidor. C. Um vazamento que causa uma falha no fornecimento de eletricidade. A. Correto. Um pen drive que passa vrus para a rede sempre inserido por uma pessoa. Desta forma, um vrus que entra na rede, por esse meio uma ameaa human. (5.7.1) B. Incorreto. A poeira no uma ameaa humana. C. Incorreto. A falha de energia eltrica no uma ameaa humana. 12 de 40 O que um exemplo de uma ameaa humana? A. Um relmpago B. Fogo C. Phishing A. Incorreto. Um relmpago um exemplo de uma ameaa no humana B. Incorreto. O fogo um exemplo de uma ameaa no humana C. Correto. Phishing (atrair usurios para sites falsos) uma forma de ameaa humana. (5.7.1 e 10.6.2) 13 de 40 Voc trabalha no escritrio de uma grande companhia. Voc recebe um telefonema de uma pessoa dizendo ser do helpdesk. Ela pede para que voc lhe diga sua senha. Que tipo de ameaa esta? A. Ameaa natural B. Ameaa organizacional C. Engenharia social A. Incorreto. Uma chamada telefnica uma ao humana; portanto, no uma ameaa natural. B. Incorreto. O termo ameaa organizacional no um termo comum para um tipo de ameaa. C. Correto. O uso de expresses ou nomes corretos de pessoas conhecidas e seus departamentos d a impresso de que um colega tentando obter segredos da empresa e segredos comerciais. Voc deve verificar se est realmente falando com o helpdesk. Um funcionrio do helpdesk jamais solicitar sua senha. ( 5.7.1)
21
14 de 40 Um incndio interrompe os trabalhos da filial de uma empresa de seguros de sade. Os funcionrios so transferidos para escritrios vizinhos para continuar seu trabalho. No ciclo de vida do incidente, onde so encontrados os acordos stand-by (plano de contingncia)? A. Entre a ameaa e o incidente B. Entre a recuperao e a ameaa C. Entre os danos e a recuperao D. Entre o incidente e os danos A. Incorreto. A realizao de um acordo stand-by sem que primeiro haja um incidente muito cara. B. Incorreto. A recuperao ocorre aps o acordo stand-by entrar em vigor. C. Incorreto. Os danos e a recuperao so realmente limitados pelo acordo stand-by. D. Correto. Um acordo stand-by uma medida corretiva iniciada a fim de limitar os danos. (6.5.4 e 5.6.1) 15 de 40 Informaes envolvem inmeros aspectos de confiabilidade, a qual constantemente ameaada. Exemplos de ameaas so: um cabo se soltar, informaes alteradas por acidente, dados que so usados para fins particulares ou falsificados. Qual destes exemplos uma ameaa confidencialidade? A. Um cabo solto B. Excluso acidental de dados C. Utilizao privada de dados A. Incorreto. Um cabo solto uma ameaa para a disponibilidade de informaes. B. Correto. A alterao no intencional de dados uma ameaa sua integridade. C. Incorreto. A alterao no intencional de dados uma ameaa sua integridade.
22
16 de 40 Um funcionrio nega o envio de uma mensagem especfica. Qual o aspecto de confiabilidade da informao est em risco aqui? A. Disponibilidade B. Exatido C. Integridade D. Confidencialidade A. Incorreto. Sobrecarregar a infraestrutura um exemplo de uma ameaa disponibilidade. B. Incorreto. Exatido no um aspecto de confiabilidade. uma caracterstica de integridade. C. Correto. A negao do envio de uma mensagem est relaciondada irretratabilidade, uma ameaa integridade. (4.1.2) D. Incorreto. O uso indevido e/ou divulgao de dados so ameaas confidencialidade. 17 de 40 Qual a melhor maneira de descrever o objetivo da poltica de segurana da informao? A. A poltica documenta a anlise de riscos e a busca de contramedidas. B. A poltica fornece orientao e apoio gesto em matria de segurana da informao. C. A poltica torna o plano de segurana concreto, fornecendo-lhe os detalhes necessrios. D. A poltica fornece percepes sobre as ameaas e as possveis consequncias. A. Incorreto. Este o propsito da anlise e gerenciamento de riscos. B. Correto. A poltica de segurana fornece orientao e apoio gesto em matria de segurana da informao. (9.2) C. Incorreto. O plano de segurana faz com que a poltica de segurana da informao seja concreta. O plano inclui as medidas escolhidas, quem responsvel pelo que, as orientaes para a implementao de medidas, etc. D. Incorreto. Este o propsito de uma anlise de ameaa.
23
18 de 40 Um incidente de segurana relacionado com um servidor Web relatado a um funcionrio do helpdesk. Sua colega tem mais experincia em servidores Web; ento, ele transfere o caso para ela. Qual termo descreve essa transferncia? A. Escalonamento funcional B. Escalonamento hierrquico A. Correto. Se o funcionrio do helpdesk no conseguir lidar com o incidente pessoalmente, o incidente pode ser relatado a algum com mais experincia, que possa ser capaz de resolver o problema. Isso se chama escalonamento funcional (horizontal). ( 6.5) B. Incorreto. Isso se chama escalonamento funcional (horizontal). O escalonamento hierrquico ocorre quando uma tarefa transferida para algum com mais autoridade. 19 de 40 Uma funcionria trabalhador de uma companhia de seguros descobre que a data de validade de uma poltica foi alterada sem seu conhecimento. Ela a nica pessoa autorizada a fazer isso. Ela relata este incidente de segurana ao helpdesk. O atendente do helpdesk registra as seguintes informaes sobre este incidente: - data e hora - descrio do incidente - possveis consequncias do incidente Qual a informao mais importante sobre o incidente est faltando aqui? A. O nome da pessoa que denunciou o incidente B. O nome do pacote de software C. O nmero do PC D. Uma lista de pessoas que foram informadas sobre o incidente A. Correto. Ao relatar um incidente, no mnimo o nome do usurio deve ser registrado. (6.5.1) B. Incorreto. Esta uma informao adicional que pode ser acrescentada posterio rmente. C. Incorreto. Esta uma informao adicional que pode ser acrescentada posteriormente. D. Incorreto. Esta uma informao adicional que pode ser acrescentada posteriormente.
24
20 de 40 No ciclo de incidente h quatro etapas sucessivas. Qual a etapa que sucede o incidente? A. Ameaa B. Dano C. Recuperao A. Incorreto. O dano se segue aps o incidente. A ordem correta das etapas ameaa, incidente, dano e recuperao. B. Correto. A ordem das etapas do ciclo do incidente : ameaa, incidente, dano e recuperao. (6.5.4) C. Incorreto. O dano sucede o incidente. A ordem correta das etapas ameaa, incidente, dano e recuperao. 21 de 40 Qual das seguintes medidas uma medida preventiva? A. Instalao de um sistema de registro de eventos (log) que permite que mudanas em um sistema sejam reconhecidas B. Desativao de todo trfego internet depois que um hacker ganhou acesso aos sistemas da companhia C. Armazenamento de informaes sigilosas em um cofre A. Incorreto. Por meio de um sistema de registro, somente depois que o incidente ocorreu possvel pesquisar sobre o que aconteceu. Esta uma medida de deteco, que visa detectar os incidentes. B. Incorreto. A desativao de todo o trfego de Internet uma medida repres siva, que visa a limitar um incidente. C. Correto. O armazenamento em cofre uma medida preventiva que evita danos s informaes sigilosas. ( 5.6.1) 22 de 40 Qual das opes abaixo uma medida repressiva em caso de incndio? A. Fazer um seguro contra incndio B. Apagar o fogo depois que o incndio for detectado pelo detector de incndio C. Reparar os danos causados pelo incndio A. Incorreto. Um seguro protege contra as consequncias financeiras de um incndio. B. Correto. Esta medida repressiva minimiza os danos causados pelo fogo. (5.6.4) C. Incorreto. Esta no uma medida repressiva, pois no minimiza os danos causados pelo incndio.
25
23 de 40 Qual o objetivo da classificao da informao? A. Criar um manual sobre como manusear dispositivos mveis B. Aplicar identificaes que facilitem o reconhecimento das informaes C. Estruturar as informaes de acordo com sua confidencialidade A. Incorreto. A criao de um manual est relacionada com as diretrizes do usurio e no com a classificao das informaes. B. Incorreto. A identificao das informaes uma designao, uma forma especial de categorizar as informaes, o que ocorre aps a classificao. C. Correto. A classificao de informaes utilizada para definir os diferentes nveis de confidencialidade nos quais as informaes podem ser estruturadas. ( 6.4) 24 de 40 Quem autorizado a mudar a classificao de um documento? A. O autor do documento B. O administrador do documento C. O proprietrio do documento D. O gerente do proprietrio do documento A. Incorreto. O autor pode alterar o contedo, mas no a classificao de um documento. B. Incorreto. O administrador no pode alterar a classificao de um documento. C. Correto. O proprietrio deve assegurar que o ativo seja classificado ou reclassificado, se necessrio; portanto, est autorizado a alterar a classificao de um documento. (6.4) D. Incorreto. O gerente do proprietrio no tem autoridade sobre nisso.
26
25 de 40 O acesso sala de computadores est bloqueado por um leitor de crachs. Somente o Departamento de Gerenciamento de Sistemas tem um crach. Que tipo de medida de segurana essa? A. Uma medida de segurana corretiva B. Uma medida de segurana fsica C. Uma medida de segurana lgica D. Uma medida de segurana repressiva A. Incorreto. A medida de segurana de corretiva uma medida de recuperao. B. Correto. Esta uma medida de segurana fsic A. (7.2) C. Incorreto. Uma medida de segurana lgica controla o acesso ao software e informao, e no o acesso fsico s salas D. Incorreto. A medida de segurana repressiva visa minimizar as consequncias de uma interrupo. 26 de 40 A autenticao forte necessria para acessar reas altamente protegidas. Em caso de autenticao forte a identidade de uma pessoa verificada atravs de trs fatores. Qual fator verificado quando preciso mostrar um crach de acesso? A. Algo que voc B. Algo que voc tem C. Algo que voc sabe A. Incorreto. Um crach de acesso no um exemplo de algo que voc . B. Correto. Um crach de acesso um exemplo de algo que voc tem. (7.2) C. Incorreto. Um crach de acesso no algo que voc sabe.
27
27 de 40 Na segurana fsica, mltiplas zonas em expanso (anis de proteo) podem ser aplicadas, nas quais diferentes medidas podem ser adotadas. O que no um anel de proteo? A. Edifcio B. Anel mdio C. Objeto D. Anel externo A. Incorreto. Um edifcio uma zona vlida e trata do acesso s instalaes. B. Correto. Anis de proteo: anel externo (rea ao redor das instalaes), edifcio (acesso s instalaes), espao de trabalho (as salas das instalaes, tambm conhecidas como "anel interno"), objeto (o ativo que deve ser protegido). No existe um anel mdio. (7. 3) C. Incorreto. Um objeto uma rea vlida e trata do ativo que precisa ser protegido. D. Incorreto. Um anel externo uma zona vlida e trata da rea ao redor das instalaes. 28 de 40 Qual das ameaas listadas abaixo pode ocorrer como resultado da ausncia de uma medida de segurana fsica? A. Um usurio pode ver os arquivos pertencentes a outro B. Um servidor desligado por causa de superaquecimento C. Um documento confidencial deixado na impressora D. Hackers podem entrar livremente na rede de computadores A. Incorreto. O controle lgico de acesso uma medida tcnica que impede o acesso no autorizado aos documentos de outro usurio. B. Correto. A segurana fsica inclui a proteo de equipamentos por meio do controle de temperatura (ar-condicionado, umidade do ar). (7.2) C. Incorreto. Uma poltica de segurana deve abranger as regras de como lidar com documentos confidenciais. Todos os funcionrios devem estar cientes dessa poltica e praticar as regras. uma medida organizacional. D. Incorreto. Impedir que hackers entrem no computador ou na rede uma medida tcnica.
28
29 de 40 Qual das seguintes medidas de segurana uma medida tcnica? A. Atribuio de informaes a um proprietrio B. Criptografia de arquivos C. Criao de uma poltica que define o que e no permitido no e-mail D. Armazenamento de senhas de gerenciamento do sistema em um cofre A. Incorreto. A atribuio de informaes a um proprietrio a classificao, que uma medida organizacional. B. Correto. Esta uma medida tcnica que impede que pessoas no autorizadas leiam as informaes. (10.12.1) C. Incorreto. Esta uma medida organizacional, um cdigo de conduta que est escrito no contrato de trabalho. D. Incorreto. Esta uma medida organizacional. 30 de 40 As cpias de segurana (backup) do servidor central so mantidas na mesma sala fechada que o servidor. Que risco a organizao enfrenta? A. Se o servidor falhar, levar um longo tempo antes que o servidor esteja novamente em funcionamento. B. Em caso de incndio, impossvel recuperar o sistema ao seu estado anterior. C. Ningum responsvel pelos backups. D. Pessoas no autorizadas tm acesso fcil aos backups. A. Incorreto. Pelo contrrio, isso ajudaria a recuperar o sistema operacional mais rapidamente. B. Correto. A chance de que as cpias de segurana tambm possam ser destrudas em um incndio muito grande. (7.6.2) C. Incorreto. A responsabilidade no tem nada a ver com o local de armazenamento. D. Incorreto. A sala de informtica est bloqueada.
29
31 de 40 Que tipo de malware cria uma rede de computadores contaminados? A. Bomba Lgica B. Storm Worm ou Botnet C. Cavalo de Troia D. Spyware A. Incorreto. Uma bomba lgica nem sempre um malware. parte de cdigo incorporada a um sistema de software. B. Correto. Um worm um pequeno programa de computador que se reproduz propositadamente e cpias do original so distribudas por meio das instalaes da rede de seu host. (10.7.2) C. Incorreto. Um cavalo de Troia um programa que, alm de realizar a funo para a qual foi criado, realiza propositadamente atividades secundrias, sem que o usurio perceba. D. Incorreto. Um spyware um programa de computador que coleta informaes sobre o usurio do computador e as envia a terceiros. 32 de 40 Em uma organizao, o agente de segurana detecta que a estao de trabalho de um funcionrio est infectada com software malicioso. O software malicioso foi instalado como resultado de um ataque direcionado de phishing. Qual ao a mais benfica para evitar esses incidentes no futuro? A. Implementar a tecnologia MAC B. Iniciar um programa de conscientizao de segurana C. Atualizar as regras do firewall D. Atualizar as assinaturas do filtro de spam A. Incorreto. O MAC est relacionado com o controle de acesso, o que no impede que um usurio seja convencido a executar algumas aes como resultado do ataque direcionado. B. Correto. A vulnerabilidade inerente a essa ameaa a falta de conscincia do usu rio. Os usurios so convencidos, nesses tipos de ataques, a executar algum cdigo que viola a poltica (por exemplo, instalar software suspeito). Combater esse tipo de ataques com um programa de conscientizao de segurana reduzir a possibilidade de recorrncia no futuro. C. Incorreto. Embora o firewall possa, por exemplo, bloquear o trfego que resultou da instalao de software malicioso, no ser til para evitar a recorrncia da ameaa. D. Incorreto. O ataque direcionado no precisa usar e -mail. O indivduo que realiza o ataque pode usar sites de relacionamento ou at mesmo o telefone para fazer contato com a vtima
30
33 de 40 Voc trabalha no departamento de TI de uma empresa de tamanho mdio. Informaes confidenciais tm cado em mos erradas por vrias vezes. Isso tem prejudicado a imagem da companhia. Voc foi solicitado a propor medidas de segurana organizacional em laptops para sua companhia. Qual o primeiro passo que voc deveria dar? A. Formular uma poltica para tratar da segurana de dispositivos mveis (PDAs, laptops, smartphones, pen drive) B. Designar uma equipe de segurana C. Criptografar os discos rgidos dos laptops e mdias de armazenamento externo, como pen drives D. Estabelecer uma poltica de controle de acesso A. Correto. A poltica sobre como usar dispositivos mveis uma medida organizacional, e medidas de segurana para laptops podem ser obrigatrias. (9.1) B. Incorreto. Designar uma equipe de segurana uma medida tcnic A. Quando algum leva um laptop para fora do escritrio, o risco de vazamento de informaes permanece. C. Incorreto. Criptografar os discos rgidos de laptops e pen drives uma medida tcnic A. Isso pode ser realizado com base em uma medida organizacional. D. Incorreto. A poltica de controle de acesso uma medida organizacional, que abrange apenas o acesso a edifcios ou sistemas de TI. 34 de 40 Qual o nome do sistema que garante a coerncia da segurana da informao na organizao? A. Sistema de Gesto de Segurana da Informao (ISMS) B. Rootkit C. Regulamentos de segurana para informaes especiais do governo A. Correto. O ISMS descrito na norma ISO/IEC 27001. (9.1.2) B. Incorreto. Um rootkit um conjunto malicioso de ferramentas de software frequentemente usado por terceiros (geralmente um hacker). C. Incorreto. Isso um conjunto de regras governamentais sobre como lidar com informaes especiais.
31
35 de 40 Como se chama o processo de definir se a identidade de algum correta? A. Autenticao B. Autorizao C. Identificao A. Correto. Definir se a identidade de algum correta chama-se autenticao. (8.3.5) B. Incorreto. Quando algum recebe os direitos de acesso a um computador ou rede, isso se chama autorizao. C. Incorreto. A identificao o processo de tornar uma identidade conhecida. 36 de 40 Por que necessrio manter um plano de recuperao de desastres atualizados e test -lo regularmente? A. A fim de sempre ter acesso s cpias de segurana (backups) recentes, que esto localiza das fora do escritrio B. Para ser capaz de lidar com as falhas que ocorrem diariamente C. Porque, de outra forma, na eventualidade de uma grande interrupo, as medidas tomadas e os procedimentos previstos podem no ser adequados ou podem estar desatualizados D. Porque isso exigido pela Lei de Proteo de Dados Pessoais A. Incorreto. Esta uma das medidas tcnicas utilizadas para recuperar um sistema. B. Incorreto. Para interrupo normais, as medidas usualmente executadas e os procedimentos de incidentes so suficientes. C. Correto. Uma grande interrupo requer planos atualizados e testados. (9.4.1) D. Incorreto. A Lei de Proteo de Dados Pessoais envolve a privacidade dos dados pessoais.
32
37 de 40 Com base em qual legislao algum pode pedir para inspecionar seus dados pessoais que tenham sido registrados? A. A Lei de Registros Pblicos B. A Lei de Proteo de Dados Pessoais C. A Lei de Crimes de Informtica D. A Lei de Acesso Pblico a Informaes do Governo A. Incorreto. A Lei de Registros Pblicos regula o armazenamento e a destruio de documentos arquivados. B. Correto. O direito de inspeo regulado pela Lei de Proteo de Dados Pessoais. (11.6) C. Incorreto. A Lei de Crimes de Informtica uma mudana do Cdigo Penal e do Cdigo de Processo Criminal de forma a tornar mais fcil lidar com crimes praticados por meio de tecnologia da informao avanada. Um exemplo de um novo crime o hacking. D. Incorreto. A Lei de Acesso Pblico a Informaes do Governo regula a inspeo de documentos oficiais escritos. Dados pessoais no so documentos oficiais. 38 de 40 Qual a legislao ou ato regulatrio relacionado segurana da informao que pode ser imposto a todas as organizaes? A. Direito de Propriedade Intelectual B. ISO/IEC 27001:2005 C. ISO/IEC 27002:2005 D. Legislao de proteo de dados pessoais A. Incorreto. Essa regulamentao no est relacionada com a segurana de informaes para as organizaes. B. Incorreto. Esta uma norma com orientaes para as organizaes sobre como lidar com a definio de um processo de segurana de informaes. C. Incorreto. Esta norma, tambm conhecida como Cdigo de boas prticas para segurana de informaes, contm orientaes sobre a poltica e as medidas de segurana de informaes. D. Correto. Todas as organizaes devem ter uma poltica e procedimentos para proteo de dados pessoais, que devem ser conhecidos por todos que processam dados pessoais. (11.6)
33
39 de 40 Voc o proprietrio de uma companhia de correio (courier), SpeeDelivery. Voc emprega algumas pessoas que, enquanto esperam para fazer as entregas, podem realizar outras tarefas. Voc percebe, no entanto, que eles usam esse tempo para enviar e ler seus e-mails particulares e navegar na Internet. Em termos legais, de que forma o uso da internet e do e-mail pode ser melhor regulado? A. Instalando um aplicativo que impea o acesso a certos sites da Internet e que realizem filtragem em arquivos anexados a e-mails B. Elaborando um cdigo de conduta para o uso da internet e do e-mail, no qual os direitos e obrigaes tanto do empregador quanto dos empregados estejam claramente declarados C. Implementando normas de privacidade D. Instalando rastreadores de vrus A. Incorreto. Instalar esse tipo de software regulamenta parcialmente o uso da Internet e do e-mail, mas no o tempo gasto em uso privativo. Esta uma medida tcnica. B. Correto. Em um cdigo de conduta, a utilizao da Internet e do e-mail pode ser documentada, quais sites podem ou no ser visitados e at que ponto o uso privativo permitido. Estas so normas internas.(9.3 e 10.3) C. Incorreto. Normas de privacidade somente regulamentam o uso de dados pessoais de funcionrios e clientes, e no o uso da Internet e do e -mail. D. Incorreto. Um mecanismo de varredura de vrus verifica os e-mails que chegam e softwares maliciosos nas conexes com a Internet. Ele no regulamenta o uso da Internet e do e -mail. uma medida tcnica. 40 de 40 Em quais condies permitido a um empregador verificar se os servios de Internet e e-mail no ambiente de trabalho esto sendo utilizados para finalidades pessoais? A. O empregador poder fazer essa verificao, se o funcionrio for informado depois de cada sesso de verificao B. O empregador poder fazer essa verificao se os funcionrios forem informados que isso pode acontecer C. O empregador poder fazer essa verificao se um firewall tambm estiver instalado A. Incorreto. O funcionrio no precisa ser informado aps cada verificao . B. Correto. Os funcionrios devem saber que o empregador tem o direito de monitorar o uso dos servios de TI. (11.7) C. Incorreto. Um firewall protege contra invasores externos. Isso no influencia o direito de o empregador monitorar a utilizao dos servios de TI.
34
Avaliao
A tabela abaixo apresenta as respostas corretas para as perguntas neste exame simulado. nmero resposta 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 B A B C B B D B D A A C C D B C B A A B pontos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 nmero resposta 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 C B C C B B B B B B B B A A A C B D B B pontos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
35
Contato EXIN
www.exin.com

Simulado Segurança Da Informação

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Simulado Segurança Da Informação

Caricato da

Copyright:

Formati disponibili

Exame simulado

EXIN Fundamentos da Segurana da Informao baseados na norma ISO/IEC 27002

Edio junho 2013

Potrebbero piacerti anche