1- A ausncia de mecanismo de proteo ou a falha em um mecanismo de proteo existente chamamos de:

1) Ameaa
2) Vulnerabilidade
3) Impacto
4) Risco

2- O conceito de segurana estar livre de perigos e incertezas. correto afirmar que segurana da informao visa
a ..
1) Criao de poltica, normas e procedimentos.
2) Criao de mecanismos para no ser invadido.
3) Proteo de ativos que contm informaes.
4) Nenhuma das respostas acima.

3- Quais so as trs caractersticas consideradas os pilares da segurana da informao?
1) No-repdio, criptografia e autenticao.
2) confidencialidade, criptografia e integridade.
3) Confidencialidade, integridade e disponibilidade.
4) Criptografia, disponibilidade e no-repdio.

4- Qual o conceito de "ativo de informao?
1) So aqueles que produzem, processam, transmitem ou armazenam informaes.
2) So os equipamentos de redes.
3) So normas, procedimentos e a poltica de segurana.
4) Nenhuma das respostas acima.

5- Quais as etapas do ciclo de vida da informao?
1) Manuseio, Armazenamento, Transporte e descarte;
2) Criao, armazenamento, manuseio e descarte;
3) Criao, armazenamento, transporte e remoo;
4) Criao, manuseio, transporte e descarte;

6- O processo que consiste em identificar quais so os nveis de proteo que as informaes demandam e
estabelecer classes e formas de identific-las, alm de determinar os controles de proteo a cada uma delas.
Estamos nos referindo ao conceito de:
1) organizao da informao;
2) Classificao da informao;
3) otimizao da informao;
4) randomizao da informao;

7- Quais so os quatro aspectos importantes que norteiam as aes de segurana em uma informao?
1) Criptografia, autenticao, valor e disponibilidade;
2) Confidencialidade, valor, integridade e criptografia;
3) Confidencialidade, valor, integridade e disponibilidade;
4) Confidencialidade, integridade, disponibilidade e criptografia;

8- O que a anlise de vulnerabilidade envolve?
1) Pessoas, processos, tecnologia e ambiente;
2) Tecnologia, programas, aplicativos e testes;
3) Pessoas, vulnerabilidades, ameaas e tecnologia;
4) dado, informao, conhecimento, processo;

9- So tipos de vulnerabilidades:
1) humana, hardware, software, natural;
2) pessoal, tecnolgica, natural, social;
3) tcnica, estratgica, operacional e administrativa;
4) baixa, mdia, alta e complexa;

10- As vulnerabilidades por si s no provocam incidentes, pois so elementos passivos, necessitando para tanto de
_________________ou uma condio favorvel que so __________________.
1) um agente causador, as ameaas;
2) um software, falhas de segurana;
3) um elemento ativo, os exploits;
4) ameaas, falhas de segurana

11- Programa ou parte de um programa de computador que se propaga infectando, isto , inserindo cpias de si
mesmo e se tornando parte de outros programas e arquivos de um computador.
1) Vrus
2) Worm;
3) Rootkit;
4) Spyware;

12- Quais os princpios bsicos de segurana que as ameaas normalmente afetam?
1) disponibilidade, integridade, confidencialidade;
2) disponibilidade, criptografia, autenticidade;
3) integridade, autenticidade, confidencialidade;
4) integridade, autenticidade,criptografia;

13- Como podemos conceituar um cavalo-de-tria?
1) Programa que parece til mas tem cdigo destrutivo embutido;
2) Programa que fornece mecanismo para esconder e assegurar a presena de um invasor;
3) Software especificamente projetado para apresentar propagandas, seja atravs de um browser, seja atravs de
algum outro programa instalado em um computador.
4) Software que tem o objetivo de monitorar atividades de um sistema e enviar as informaes coletadas para
terceiros.

14- Quais as etapas, em ordem cronolgica, de um planejamento de ataque?
1) Levantamento das informaes, Explorao das informaes (scanning), Obteno do acesso, Manuteno do
acesso, Camuflagem das evidncias;
2) Explorao das informaes (scanning), Levantamento das informaes, Obteno do acesso, Manuteno do
acesso, Camuflagem das evidncias;
3) Obteno do acesso, Levantamento das informaes, Explorao das informaes (scanning), Manuteno do
acesso, Camuflagem das evidncias;
4) Obteno do acesso, Levantamento das informaes, Manuteno do acesso, Explorao das informaes
(scanning), Camuflagem das evidncias;

15- O que o ataque denominado DdoS?
1) tenta tornar os recursos de um sistema indisponveis para seus utilizadores, porm de forma distribuda.
2) Explora a metodologia de estabelecimento de conexes do protocoloTCP, baseado no three-way-handshake.
3) Tenta tornar os recursos de um sistema indisponveis para seus utilizadores.
4) Mapeia as portas do protocolos TCP e UDP abertas em um determinado host.

16- O que o ataque denominado engenharia social?
1) Consistem em utilizar a persuaso, para obter informaes que podem ser utilizadas para ter acesso no
autorizado a computadores ou informaes.
2) Consiste em tornar os recursos de um sistema indisponveis para seus utilizadores.
3) Consiste na verificao do lixo em busca de informaes que possam facilitar o ataque;
4) Consiste na captura de informaes valiosas diretamente pelo fluxo de pacotes transmitido na rede.

17- A empresa ABC est desenvolvendo um poltica de segurana da Informao e uma de suas maiores
preocupaes com as informaes crticas e sigilosas da empresa. Como estas informaes impressas em papel
sero descartadas. Qual o tipo de ataque est preocupando a empresa ABC?
1. Fraggle
2. Smurf
3. Dumpster diving ou trashing
4. Phishing Scan
5. SYN Flooding

18- Baseado no conceito de que as protees so medidas que visam livrar os ativos de situaes que possam trazer
prejuzo e que podemos classific-las de acordo com a sua ao e o momento em que ocorre, qual das opes abaixo
no corresponde classificao das protees de acordo com a sua ao e o momento na qual ela ocorre?
1. Preventivas.
2. Correo.
3. Destrutivas.
4. Deteco .
5. Desencorajamento.

19- Para auxiliar no processo de classificao das informaes das organizaes, podemos utilizar que ferramenta?
1. Uma Analise Quantitativa dos nveis Alto, Mdio e Baixo das Informaes.
2. Uma Matriz que utilize nveis Alto, Mdio e Baixo versus a Confidencialidade, a Integridade e a
Disponibilidade das Informaes.
3. Uma Matriz que utilize nveis Alto, Mdio e Baixo versus a Confidencialidade, a Integridade e a Probabilidade
das Informaes.
4. Uma Analise Qualitativa dos nveis Alto, Mdio e Baixo das Informaes.
5. Uma Matriz que utilize nveis Alto, Mdio e Baixo versus a Confiabilidade, a Integridade e a Disponibilidade
das Informaes.

20- O tamanho do prejuzo, medido atravs de propriedades mensurveis ou abstratas, que a concretizao de uma
determinada ameaa causar est relacionado com qual conceito de?
1. Ameaa.
2. Risco.
3. Valor.
4. Impacto.
5. Vulnerabilidade.

21- Com o crescimento da internet, das tecnologias e aplicaes a ela relacionadas e principalmente na forma como
a tecnologia da informao tem apiado as operaes das empresas, qual das opes abaixo no verdadeira
quando tratamos do conceito de Informao ?
1. fundamental proteger o conhecimento gerado.
2. Pode conter aspectos estratgicos para a Organizao que o gerou.
3. necessrio disponibiliz-la para quem tem a real necessidade de conhec-la.
4. A informao vital para o processo de tomada de deciso de qualquer corporao.
5. Deve ser disponibilizada sempre que solicitada.

22- Um fator importante em um processo de classificao da informao o nvel de ameaa conhecido que cada
informao tem. Quando uma informao classificada como pblica, podendo ser utilizada por todos sem causar
danos organizao, podemos afirmar que ela possui qual nvel de segurana?
1. Confidencial.
2. Interna.
3. Irrestrito.
4. As opes (a) e (c) esto corretas.
5. Secreta.

23- Em uma organizao existem diversos tipos de ativos que podem ser organizados e classificados atravs de
diversas propriedades. Qual das opes abaixo descreve o conceito de Ativos para a Segurana da Informao:
1. Tudo aquilo que no manipula dados.
2. Tudo aquilo que tem valor para a organizao.
3. Tudo aquilo que no possui valor especfico.
4. Tudo aquilo que utilizado no Balano Patrimonial.
5. Tudo aquilo que a empresa usa como inventario contbil.

24- Um grande banco teve o saldo da conta corrente de vrios clientes alterados devido a ocorrncia de um ataque
externo. O ataque ocorreu atravs da tela de entrada do sistema que faz uma consulta ao banco de dados de
cadastro do cliente. Neste caso, foi utilizado um ataque de
1. Fragmentao de Pacotes IP
2. Smurf
3. SQL Injection
4. Buffer Overflow
5. Fraggle

25- Analise a afirmativa: O nvel de segurana pode ser aumentado tanto pela necessidade de confidencialidade
quanto pela de disponibilidade. Esta afirmao :
1. verdadeira desde que seja considerada que todas as informaes so publicas.
2. verdadeira se considerarmos que o nvel no deve ser mudado.
3. verdadeira, pois a classificao da informao pode ser sempre reavaliada.
4. falsa, pois a informao no deve ser avaliada pela sua disponibilidade.
5. falsa, pois no existe alterao de nvel de segurana de informao.

26- O crescimento explosivo da internet e das tecnologias e aplicaes a ela relacionadas revolucionou o modo de
operao das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informao apia as
operaes das empresas e as atividades de trabalho dos usurios finais. Qual das opes abaixo no pode ser
considerada como razo fundamental para as aplicaes de tecnologia da informao nas empresas?
1. Apoio s Operaes
2. Apoio aos Processos
3. Apoio s Estratgias para vantagem competitiva
4. Apoio ao uso da Internet e do ambiente wireless
5. Apoio tomada de deciso empresarial

27- Qual das opes abaixo descreve um tipo de ataque onde possvel obter informaes sobre um endereo
especfico, sobre o sistema operacional, a arquitetura do sistema e os servios que esto sendo executados em cada
computador ?
1. Ataques de cdigos pr-fabricados
2. Ataque para Obteno de Informaes
3. Ataque de Configurao mal feita
4. Ataque Aplicao
5. Ataque aos Sistemas Operacionais

28- Qual das opes abaixo no considerada como sendo um dos fatores fundamentais e que possam impactar no
estudo e implementao de um processo de gesto de segurana em uma organizao?
1. Vulnerabilidade.
2. Impacto .
3. insegurana /intensidade
4. Risco.
5. Ameaa.

29- O Evento que tem potencial em si prprio para comprometer os objetivos da organizao, seja trazendo danos
diretos aos ativos ou prejuzos decorrentes de situaes inesperadas est relacionado com qual conceito?
1. Valor.
2. Risco.
3. Ameaa.
4. Impacto.
5. Vulnerabilidade.

30- Um hacker est planejando um ataque a uma importante empresa de E-commerce. Desta forma ser necessrio
levantar quais os servios de rede esto disponveis na rede da empresa. Para alcanar o seu objetivo o invasor
tentar levantar estas informaes atravs da escuta das portas do protocolo TCP e UDP. Neste caso estamos nos
referindo a um ataque do tipo:
1. SYN Flooding
2. Fraggle
3. Fragmentao de Pacotes IP
4. Port Scanning
5. Three-way-handshake

31- Como qualquer bem ou recurso organizacional, a informao tambm possui seu conceito de valor . Qual das
opes abaixo no representa um dos possveis conceitos fundamentais do valor atribudo s informaes para as
organizaes quando tratamos de Segurana da Informao?
1. Valor de restrio.
2. Valor de troca.
3. Valor de propriedade.
4. Valor de oramento.
5. Valor de uso.

32- O que analise de risco?
1) Pessoas, processos, tecnologia e ambiente;
2) Tecnologia, programas, aplicativos e testes;
3) Pessoas, vulnerabilidades, ameaas e tecnologia;
4) dado, informao, conhecimento, processo;

33- Os riscos no podem ser completamente eliminados e a poro do risco existente aps todas as medidas de
tratamento terem sido tomadas, chama-se?
1) Risco de transao;
2) Risco residual
3) Risco analtico
4) Risco estrutural

34- A gesto de riscos contempla uma srie de atividades relacionadas forma como uma organizao lida com o
risco. Baseado no ciclo de vida da gesto de risco, quais so as quatros atividades principais:
1) Avaliao do Risco, Tratamento do Risco, Aceitao do Risco, Comunicao do Risco;
2) Avaliao do Risco, Aceitao do Risco, Tratamento do Risco, Comunicao do Risco;
3) Comunicao do Risco, Aceitao do Risco, Tratamento do Risco, Avaliao do Risco;
4)

35- Sobre a Norma ISO/IEC 27001 podemos afirma que:
1) Apresenta os requisitos para a implementao de um Sistema de Gesto de Segurana da Informao;
2) Tem como objetivo tratar a gesto de risco da informao;
3) Tem como objetivo tratar a recuperao e continuidade de negcios;
4) um cdigo de melhores prticas de segurana da informao;

36- Sobre a Norma ISO/IEC 27005 podemos afirma que:
1) Tem como objetivo a certificao do sistema de gesto de segurana da informao;
2) Tem como objetivo tratar a gesto de risco da informao;
3) Tem como objetivo tratar a recuperao e continuidade de negcios;
4) um cdigo de melhores prticas de segurana da informao;

37- Sobre a Norma ISO/IEC 27002 podemos afirma que:
1) Tem como objetivo a certificao do sistema de gesto de segurana da informao;
2) Tem como objetivo tratar a gesto de risco da informao;
3) Tem como objetivo tratar a recuperao e continuidade de negcios;
4) um cdigo de melhores prticas de segurana da informao

38- Sobre a Norma ISO/IEC 27001 podemos afirma que:
1) Apresenta os requisitos para a implementao de um Sistema de Gesto de Segurana da Informao;
2) Tem como objetivo tratar a gesto de risco da informao;
3) Tem como objetivo tratar a recuperao e continuidade de negcios;
4) um cdigo de melhores prticas de segurana da informao;

39- O que a declarao de aplicabilidade?
1) A relao de quais controles so aplicveis e as justificativas dos que no so aplicveis ao seu SGSI;
2) Os pontos especficos que definem o que deve ser feito para assegurar aquele item;
3) A poltica do Sistema de Gesto de Segurana da Informao (SGSI);
4) O resultado da avaliao de risco;

40- Para estabelecer um Sistema de Gesto de Segurana da Informao (SGSI) documentado e dentro do contexto
das atividades de negcio da organizao e dos riscos que ela enfrenta, a norma ISO/IEC 27001 utiliza uma
abordagem:
1) de processo;
2) de risco;
3) de controle;
4) de negcio;

41- Quais os processos que compes o ciclo de vida da continuidade de negcio?
1) Gesto do programa de GCN, Determinando a estratgia de continuidade de negcios, Desenvolvendo e
implementando uma resposta de GCN, Testando, mantendo e analisando criticamente os preparativos de GCN,
Incluindo a GCN na cultura da organizao;
2) Gesto do programa de GCN, Anlise do impacto do negcio (BIA), Anlise de risco do negcio, mantendo e
analisando criticamente os preparativos de GCN, Incluindo a GCN na cultura da organizao;
3) Determinando a estratgia de continuidade de negcios, Desenvolvendo e implementando uma resposta de GCN,
Implementando a Poltica de continuidade de negcio, Testando, mantendo e analisando criticamente os
preparativos de GCN;
4) Desenvolvendo e implementando uma resposta de GCN, Anlise de impacto do negcio (BIA), Testando,
mantendo e analisando criticamente os preparativos de GCN, Incluindo a GCN na cultura da organizao;

42- No contexto da continuidade de negcio qual o conceito de desastre:
1) Eventos de grande magnitude em termos de prejuzo, porm com probabilidade muito baixa de ocorrncia;
2) Eventos de grande magnitude em termos de prejuzo, com probabilidade muito alta de ocorrncia;
3) Evento imprevisto e indesejvel que resulta em algumen tipo de dano financeiro empresa;
4) Evento imprevisto e indesejvel que poderia ter resultado em algum tipo de dano pessoa, ao patrimnio ou
ainda algum tipo de impacto ao meio ambiente mas no resultou;

43- O que contem um Plano de resposta a incidentes?
1) As tarefas e aes para administrar as consequncias imediatas de uma interrupo de negcios;
2) A lista de tarefas e aes em ordem de prioridade para a continuidade do negcio;
3) O grau de relevncia dos processos ou atividades que compe a entrega de produtos e servios fundamentais
para a organizao e dentro do escopo do programa de GCN;
4) As aes para avaliar a competncia de GCN e sua capacidade de identificar falhas reais e potenciais;

44- O que caracteriza o algoritmo de criptografia de chave assimtrica?
1) A utilizao de duas chaves diferentes, uma em cada extremidade do processo de comunicao;
2) A utilizao de uma mesma chave tanto para a codicar quanto para decodicar mensagens sendo conhecida por
ambos os lados do processo de comunicao;
3) A utilizao de um algoritmo de criptografia chamado de hash;
4) A utilizao de assinatura digital;

45- Qual o conceito de zona demilitarizada (DMZ)?
1) pequenas redes que geralmente contm servios pblicos que so conectados diretamente ao firewall ou a
outro dispositivo de filtragem;
2) redes que esto localizadas dentro do permetro de segurana e portanto necessitam de proteo;
3) redes que contm servios que necessitam de criptografia;
4) redes que contm servios que necessitam de assinatura digital;

46- Qual a funo de um firewall?
1) Isola a rede interna da organizao da rea pblica da Internet, permitindo que alguns pacotes passem e outros
no;
2) reconhece um comportamento ou uma ao intrusiva, atravs da anlise das informaes disponveis em um
sistema de computao ou rede;
3) protege equipamentos e informaes contra usurios no autorizados, prevenindo o acesso a esses recursos;
4) escreve mensagens em forma cifrada ou em cdigo;

47- Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes
foi deixada uma mensagem informando : "Este ms, o governo vivenciar o maior nmero de ataques de natureza
virtual na sua histria feito pelo fail shell". Foi um ataque orquestrado, no s para este site mas para varias
instituies governamentais, acredita-se que foram utilizados mais de 2 bilhes de acesso no caso foi utilizado um
Denial-of service.. O banco de dados IBGE no foi afetado, o portal mais informativo, no comprometendo aos
dados internos e criticos que no devem ser divulgados. Qual voc acha que foi a vulnerabilidade para este ataque?
1. Vulnerabilidade Comunicao
2. Vulnerabilidade Mdias
3. Vulnerabilidade Fsica
4. Vulnerabilidade Natural
5. Vulnerabilidade Software

48- Analise a frase abaixo: Capacidade de uma organizao de resistir aos efeitos de um incidente. Assinale qual
das opes representa o conceito correto da frase acima:
1. Restaurao
2. Resilincia
3. Resistncia
4. Recuperao
5. Rescaldo

49- Com relao afirmao So as vulnerabilidades que permitem que as ameaas se concretizem podemos dizer
que:
1. A afirmativa falsa.
2. A afirmativa verdadeira.
3. A afirmativa verdadeira somente para ameaas identificadas.
4. A afirmativa verdadeira somente para vulnerabilidades fsicas.
5. A afirmativa verdadeira somente para vulnerabilidades lgicas.

50- Maria trabalha como engenheira qumica de uma importante empresa do ramo farmacetico em um projeto
indito e que ir permitir a sua empresa obter um diferencial competitivo em relao aos concorrentes. As
informaes com que Maria trabalha deve ser classificada como interna e restrita a um grupo seleto dentro da
organizao, devendo a sua integridade ser preservada a qualquer custo e o acesso bastante limitado e seguro,
sendo vital para a companhia. Em qual nvel de segurana a informao deve ser classificada?
1. Interna
2. Secreta
3. Pblica
4. Confidencial
5. Proibida

51- Segundo a RFC 2828 os ataques podem ser definidos como um ataque segurana do sistema, derivado de uma
ameaa inteligente, ou seja, um ato inteligente que uma tentativa deliberada de burlar os servios de segurana e
violar a poltica de segurana de um sistema. Os ataques ser classificados como:
1. Passivo e Ativo
2. Secreto e Ativo
3. Passivo e Vulnervel
4. Secreto e Vulnervel
5. Forte e Fraco

52- Qual das opes abaixo descreve melhor conceito de "Ameaa" quando relacionado com a Segurana da
Informao:
1. Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos
2. Tudo aquilo que tem origem para causar algum tipo de erro nos ativos
3. Tudo aquilo que tem percepo de causar algum tipo de dano aos ativos
4. Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes.
5. Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos

53- A norma NBR ISO/IEC 27002 orienta que a organizao deve controlar o acesso informao, aos recursos de
processamento de dados e aos processos de negcios com base nos requisitos de negcio e na segurana da
informao levando em considerao as polticas para autorizao e disseminao da informao. Neste caso a
NBR ISO/IEC 27002 est fazendo referencia a que tipo de ao de Segurana?
1. Gerenciamento das Operaes e Comunicaes
2. Desenvolvimento e Manuteno de Sistemas
3. Controle de Acesso
4. Segurana em Recursos Humanos
5. Segurana Fsica e do Ambiente

54- Voc est trabalhando em um projeto de implantao da continuidade de negcios em sua organizao. Voc
est na fase do projeto que a anlise de impacto nos negcios. Analise a opo que melhor retrata as aes que
voc deve realizar:
1. Levantar o grau de dificuldade dos processos ou atividades que compe a entrega de produtos e servios
desnecessrios para a organizao.
2. Levantar o grau de dificuldade dos processos ou atividades da rea de TI que compe a entrega de produtos
e servios fundamentais para a organizao.
3. Levantar o grau de relevncia dos usurios ou atividades que compe a entrega de produtos e servios
desnecessrios para a organizao.
4. Levantar o grau de relevncia dos processos ou atividades que compe a entrega de produtos e servios
fundamentais para a organizao.
5. Levantar o grau de relevncia dos processos ou hardware que compe a entrega de produtos e servios
fundamentais para a organizao.

55- Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurana da informao visa proteger os ativos de informao
de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar os danos e maximizar o retorno
dos investimentos. Para isso a segurana da informao pode ser caracterizada por trs princpios bsicos:
1. Flexibilidade, agilidade e conformidade
2. Autenticidade, originalidade e abrangncia
3. Integridade, preveno e proteo
4. Preveno, proteo e reao
5. Integridade, confidencialidade e disponibilidade

56- Quando tratamos de Criptografia de Chave Assimtrica ou pblica quais das opes abaixo est INC ORRETA :
1. A Chave Privada deve ser mantida em segredo pelo seu Dono
2. Cada pessoa ou entidade mantm duas chaves
3. A Chave Publica no pode ser divulgada livremente, somente a Chave Privada
4. Chave Publica e Privada so utilizadas por algoritmos assimtricos
5. A Chave Publica pode ser divulgada livremente

57- Maio/2011 - A Sony sofre invaso de hackers com o vazamento de informaes de mais de 100 milhes de
usurios da rede online de games PlayStation Network. O ataque base de dados de clientes se realizou desde um
servidor de aplicaes conectado com ela, e que est depois de um servidor site e dois firewalls. Segundo a
companhia, os hackers encobriram o ataque como uma compra na plataforma online de Sony e depois de passar do
servidor site, O ataque, que foi considerado um dos maiores, no sentido do vazamento de dados confidenciais, da
histria obrigou a Sony a reconstruir grande parte da sua rede, causado um prejuzo de 171 milhes de Dlares. A
rede tambm ficou fora do ar por 28 dias, sendo que alguns servios menos essenciais foram reestabelecidos
primeiro e regionalmente antes do reestabelecimento total de todos os servios. . Qual voc acha que foi a
vulnerabilidade para este ataque?
1. Vulnerabilidade de Comunicao
2. Vulnerabilidade de Mdias
3. Vulnerabilidade Natural
4. Vulnerabilidade de Software
5. Vulnerabilidade Fsica

58- Ao analisarmos a afirmativa: Devemos levar em considerao que diferentes ameaas possuem impactos
diferentes e que dependendo do ativo afetado, podemos ter tambm impactos diferentes para uma mesma
ameaa. Podemos dizer que :
1. verdadeira
2. parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaa.
3. falsa, pois no depende do ativo afetado.
4. falsa, pois no devemos considerar que diferentes ameaas existem .
5. falsa, pois os impactos so sempre iguais para ameaas diferentes.

59- Maria trabalha na filial de So Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha
na filial de Belm. Aps receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho
maior do que quando Maria iniciou a transmisso. Neste estava houve uma falha na segurana da informao
relacionada :
1. No-Repdio;
2. Integridade;
3. Auditoria;
4. Autenticidade;
5. Confidencialidade;

60- Qual das opes abaixo representa o tipo de ao quando observamos que o custo de proteo contra um
determinado risco no vale a pena ser aplicado:
1. Comunicao do Risco
2. Aceitao do Risco
3. Garantia do Risco
4. Monitoramento do Risco
5. Recusar o Risco

61- Marcelo analista de suporte da empresa X e est responsvel pela instalao dos equipamentos de rede.
Durante a instalao do novo roteador, Marcelo no percebeu que ocorreram vrios erros na instalao do
equipamento. Neste caso ocorreu um exemplo de vulnerabilidade :
1. De Mdia;
2. De comunicao;
3. De Software;
4. De hardware;
5. Natural;

62- Qual tipo de ataque envolve alguma modificao do fluxo de dados ou a criao de um fluxo falso?
1. Passivo
2. Forte
3. Fraco
4. Secreto
5. Ativo

63- Voc trabalha na rea de segurana da sua empresa e com objetivo de reduzir os riscos na rea de Banco de
Dados, pretende implementar recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando
permisses. Neste caso que tipo de barreira voc est implementando?
1. Deter
2. Discriminar
3. Desencorajar
4. Dificultar
5. Detectar

64- A demanda gradual por armazenamento de conhecimento tem levado necessidade de administrao desses
dados de forma confivel. Qual das opes abaixo representa melhor a seqencia na evoluo do tratamento dos
Dados para a sua utilizao eficaz nas organizaes?
1. Dado - Conhecimento - Informao
2. Dado - Informao - Informao Bruta
3. Dado - Informao - Conhecimento
4. Dado - Informao - Dados Brutos
5. Dado - Conhecimento Bruto - Informao Bruta

65- Considere um sistema no qual existe um conjunto de informaes disponvel para um determinado grupo de
usurios denominados auditores. Um usurio de um outro grupo, o grupo estudante, tenta acessar o sistema em
busca de uma informao que somente o grupo auditores tem acesso e consegue. Neste caso houve uma falha na
segurana da informao para este sistema na propriedade relacionada :
1. Auditoria;
2. Disponibilidade;
3. No-Repdio;
4. Integridade;
5. Confidencialidade;

66- Qual das opes abaixo descreve melhor conceito de Risco quando relacionado com a Segurana da
Informao:
1. Probabilidade de uma ameaa explorar um incidente.
2. Probabilidade de uma ameaa explorar uma vulnerabilidade.
3. Probabilidade de um ativo explorar uma ameaa.
4. Probabilidade de um ativo explorar uma vulnerabilidade.
5. Probabilidade de um incidente ocorrer mais vezes.

67- Qual das opes abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir mquinas
servidoras da WEB de forma a tornar as pginas hospedadas nestes servidores indisponveis pela sobrecarga ao invs
da invaso?
1. DDos
2. SQL Injection
3. Shrink wrap code
4. Phishing Scan
5. Source Routing

68- A empresa Ypisilon foi invadida atravs do seu sistema de e-commerce. O ataque ocorreu atravs do envio de
informaes inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi
utilizado um ataque de:
1. Smurf
2. Fragmentao de Pacotes IP
3. Fraggle
4. Buffer Overflow

69- Porque as organizaes devem realizar auditorias internas do SGSI em intervalos regulares?
1. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR
ISO/IEC 27001.
2. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma
NBR ISO/IEC 27001.
3. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR
ISO/IEC 27001.
4. Para determinar se os objetivos de ameaas, vulnerabilidades e procedimentos atendem aos requisitos da
norma NBR ISO/IEC 27001.
5. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR
ISO/IEC 27001.

70- Qual das opes abaixo NO correta quando tratamos do conceito de Permetro de segurana e seus
componentes ?
1. Redes No Confiveis - No possuem polticas de segurana.
2. Redes Confiveis - Localizadas no permetro de segurana da rede, portanto necessitam de proteo
3. Redes No Confiveis - No possvel informar se necessitam de proteo.
4. Redes No Confiveis - No possuem controle da administrao.
5. Redes Desconhecidas - No possvel informar, de modo explcito, se a rede confivel ou no confivel.

71- A norma NBR ISO/IEC 27002 orienta que a organizao no deve permitir a interrupo das atividades do
negcio e deve proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar a sua
retomada em tempo hbil. Neste caso a NBR ISO/IEC 27002 est fazendo referncia a que tipo de ao de
Segurana?
1. Controle de Acesso
2. Segurana Fsica e do Ambiente.
3. Gesto de Incidentes de Segurana da Informao
4. Gesto da Continuidade do Negcio
5. Gerenciamento das Operaes e Comunicaes

72- Voc est trabalhando em um projeto de classificao de informao e sua empresa trabalho no ramo
financeiro, onde a divulgao de determinadas informaes pode causar danos financeiros ou imagem da sua
empresa, alm de gerar vantagens aos concorrentes e tambm possveis perda de clientes. Neste caso voc
classificaria estas informaes em qual nvel de segurana?
1. Confidencial.
2. Irrestrito.
3. Interna.
4. Pblica.
5. Secreta

73- Qual das opes abaixo apresenta o documento integrante da Poltica de Segurana da Informao onde so
especificados no plano ttico, as escolhas tecnolgicas e os controles que devero ser implementados para alcanar
a estratgia definida nas diretrizes?
1. Relatrio Estratgico.
2. Procedimentos.
3. Normas.
4. Manuais.
5. Diretrizes.

74- Qual das opes abaixo apresenta a Norma referente a gesto de Risco dentro da Famlia ISO/IEC 27000 ?
1. ISO/IEC 27004
2. ISO/IEC 27005
3. ISO/IEC 27003
4. ISO/IEC 27002
5. ISO/IEC 27001

75- Nas estratgias contingncia implementadas pelas empresas, qual das opes abaixo NO considerada uma
estratgias de contingncia ?
1. Warm Site
2. Cold Site
3. Realocao de Operao
4. Hot Site
5. Small Site

76- As ameaas so agentes ou condies que causam incidentes que comprometem as informaes e seus ativos
por meio da explorao de vulnerabilidades . As ameaas inconscientes, quase sempre causadas pelo
desconhecimento podero ser classificadas como:
1. Voluntrias.
2. Naturais.
3. Ocasionais.
4. Involuntrias.
5. Inconseqentes.

77- Podemos dizer que os controles que reduzem a probabilidade de uma ameaa se concretizar ou diminuem o
grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua
capacidade de gerar efeitos adversos na organizao so consideradas:
1. Medidas Preventivas
2. Medidas Corretivas e Reativas
3. Mtodos Quantitativos
4. Mtodos Detectivos
5. Medidas Perceptivas

78- Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opes
abaixo No representa um destes tipos de ataques?
1. Ataque Aplicao
2. Ataque para Obteno de Informaes
3. Ataques Genricos
4. Ataque de Configurao mal feita
5. Ataque aos Sistemas Operacionais

79- Qual das opes abaixo apresenta a Norma referente a gesto de Risco dentro da Famlia ISO/IEC 27000 ?
1. ISO/IEC 27003
2. ISO/IEC 27002
3. ISO/IEC 27004
4. ISO/IEC 27001
5. ISO/IEC 27005

80-Certificaes de organizaes que implementaram a NBR ISO/IEC 27001 um meio de garantir que a organizao
certificada:
1. implementou um sistema para gerncia da segurana da informao de acordo com os desejos de segurana
dos funcionrios e padres comerciais.
2. implementou um sistema para gerncia da segurana da informao de acordo com os padres e
melhores prticas de segurana reconhecidas no mercado
3. implementou um sistema para gerncia da segurana da informao de acordo com os padres nacionais
das empresas de TI.
4. implementou um sistema para gerncia da segurana da informao de acordo com os padres de
segurana de empresas de maior porte reconhecidas no mercado.
5. implementou um sistema para gerncia da segurana da informao de acordo fundamentado nos desejos
de segurana dos Gerentes de TI.

81-O Exploit um termo muito utilizado em segurana da informao. Qual das opes abaixo descreve o que
conceito de um Exploit ?
1. Um programa de computador, uma poro de dados ou uma sequncia de comandos que se aproveita das
ameaas de um sistema computacional.
2. Um programa de computador, uma poro de dados ou uma sequncia de comandos para reduzir as
ameaas de um sistema computacional.
3. Um programa de computador, uma poro de dados ou uma sequncia de comandos que se aproveita das
vulnerabilidades de um sistema computacional.
4. Um programa de computador, uma poro de dados ou uma sequncia de comandos que implementa
vulnerabilidades em um sistema computacional.
5. Um programa de computador, uma poro de dados ou uma sequncia de comandos que deve ser
amplamente utilizado em um sistema computacional.

82- Na vulnerabilidade dos sistemas, o cavalo de troia e os applets mal intencionados so exemplos de mtodos de
ataque do tipo:
1. fraude de programao.
2. falhas humanas.
3. ameaas no intencionais.
4. adulterao de dados.
5. falhas do sistema computacional.

83- Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando,
isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador pode
ser descrito como sendo um:
1. vrus
2. backdoor
3. spyware
4. exploit
5. keylogger

84- Qual das Opes abaixo representa a ordem correta dos passos que um Atacante normalmente segue para
realizar um Ataque de Segurana :
1. Obteno, Levantamento, Explorao, Manuteno e Camuflagem
2. Obteno, Explorao, Levantamento, Manuteno e Camuflagem
3. Explorao, Levantamento, Obteno, Manuteno e Camuflagem
4. Levantamento, Explorao, Obteno, Manuteno e Camuflagem
5. Levantamento, Obteno, Explorao, Manuteno e Camuflagem

85- Joo e Pedro so administrador de sistemas de uma importante empresa e esto instalando uma nova verso do
sistema operacional Windows para mquinas servidoras. Durante a instalao Pedro percebeu que existem uma
srie de exemplos de cdigos j prontos para serem executados, facilitando assim o trabalho de administrao do
sistema. Qual o tipo de ataque que pode acontecer nesta situao?
1. Shrink Wrap Code
2. Dumpster Diving ou Trashing
3. Phishing Scan
4. Smurf
5. Fraggle

86- De acordo com a afirmao O nvel de segurana requerido para obter cada um dos trs princpios da CID difere
de empresa para empresa, pois cada empresa possui uma combinao nica de requisitos de negcio e de
segurana, podemos dizer que:
1. A afirmao ser somente verdadeira se as empresas forem de um mesmo mercado.
2. A afirmao somente falsa para as empresas privadas.
3. A afirmao falsa.
4. A afirmao somente verdadeira para as empresas privadas.
5. A afirmao verdadeira.

87- O papel estratgico dos sistemas de informao nas empresas cresce a cada dia. Qual das opes abaixo no
pode ser considerada como sendo um dos "Propsitos da Informao" dentro das empresas e organizaes?
1. Habilitar a empresa a alcanar seus objetivos pelo uso eficiente dos equipamentos;
2. Habilitar a empresa a alcanar seus objetivos pelo uso eficiente da sua tecnologia;
3. Habilitar a empresa a alcanar seus objetivos de ineficcia nos processos;
4. Habilitar a empresa a alcanar seus objetivos pelo uso eficiente dos recursos financeiros;
5. Habilitar a empresa a alcanar seus objetivos pelo uso eficiente dos recursos materiais;

88- Joo analista de segurana da empresa Ypisol e percebeu que algum est tentando obter acesso rede
atravs do envio de um grande nmero de requisies de conexo (pacotes SYN) para o servidor WEB da empresa.
Qual o tipo de ataque que o invasor est tentando utilizar?
1. Fragmentao de pacotes IP
2. Port Scanning
3. SYN Flooding
4. Fraggle
5. Ip Spoofing
89- Como qualquer bem ou recurso organizacional, a informao tambm possui seu conceito de valor est
associado a um contexto. A informao ter valor econmico para uma organizao se ela gerar lucros ou se for
alavancadora de vantagem competitiva, caso contrrio poder ter pouco ou nenhum valor. Segundo os conceitos da
Segurana da Informao, onde devemos proteger as informaes?
1. Nos Riscos.
2. Nas Vulnerabilidades e Ameaas.
3. Nas Ameaas.
4. Nas Vulnerabilidades.
5. Nos Ativos .

90- Qual das opes abaixo completa a sentena: Quanto maior a probabilidade de uma determinada ameaa
ocorrer e o impacto que ela trar, maior ser _________.
1. A Vulnerabilidade do Ativo.
2. A Vulnerabilidade do Risco.
3. O risco associado a este incidente.
4. O valor do Impacto.
5. O risco associado a ameaa.

91- Antnio deseja obter informaes sigilosas de uma importante empresa da rea financeira. Para isso
implementou um programa que que ir coletar informaes pessoais e financeiros da vtima. Para obter sucesso no
ataque, Antnio ir induzir o acesso a pgina fraudulenta atravs do envio de uma mensagem no solicitada. Neste
caso estavamos nos referindo ao ataque do tipo
1. SQL Injection
2. Phishing Scan
3. Source Routing
4. DDos
5. Shrink wrap code

92- Joo configurou nas mquinas servidoras da empresa que trabalha o servio de Log de forma a registrar as
operaes realizadas pelos usurios e servios do sistema. Neste caso, Joo est implementando uma propriedade
de segurana relacionada (o):
1. Integridade;
2. Confidencialidade;
3. Disponibilidade;
4. Auditoria;
5. No-Repdio;

93- assimtricas, sendo uma delas pblica e a outra, privada, emitidas por autoridade certificadora confivel. Uma
mensagem ser enviada de Ana para Bernardo, satisfazendo s seguintes condies:
1 - a mensagem deve ser criptografada de modo que no seja interceptvel no caminho;
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana;
3 - deve ser possvel continuar enviando mensagens, entre as 3 pessoas, que atendam s condies anteriores.
A mensagem de Ana para Bernardo deve ser assinada
1. com a chave privada de Bernardo e criptografada com a chave pblica de Ana.
2. e criptografada com a chave pblica de Ana.
3. com a chave pblica de Ana e criptografada com a chave privada de Bernardo.
4. e criptografada com a chave privada de Bernardo.
5. com a chave privada de Ana e criptografada com a chave pblica de Bernardo.

94- Segundo os conceitos de Segurana da Informao as protees so medidas que visam livrar os ativos de
situaes que possam trazer prejuzo. Neste contexto qual das opes abaixo apresenta os tipos proteo possveis
de serem aplicadas s organizaes?
1. Lgica, Administrativa e Contbil.
2. Administrativa, Contbil e Fsica.
3. Lgica, Fsica e Programada.
4. Administrativa, Fsica e Lgica.
5. Administrativa, Fsica e Programada.
95- A gesto do ciclo de vida da informao, no contexto da segurana da Informao, tem se tornado um elemento
fundamental para:
1. A gesto dos negcios da organizao .
2. A gesto da rea comercial.
3. A gesto de oramento.
4. A gesto do ciclo da informao interna.
5. A gesto dos usurios.

96- As ameaas propositais causadas por agentes humanos como hackers, invasores, espies, ladres e etc. podero
ser classificadas como:
1. Voluntrias
2. Tecnolgicas.
3. Globalizadas
4. Destrutivas
5. Insconsequentes

97- Quando um atacante deseja realizar uma invaso, a utilizao de rootkits, backdoors ou trojans pode estar
associada a qual dos passos realizados pelo Atacante?
1. Manuteno do Acesso.
2. Levantamento das Informaes.
3. Explorao das Informaes.
4. Obteno de Acesso
5. Camuflagem das Evidncias

98- Tendo em vista a mudana de paradigma no modo como as empresas e as pessoas trabalham e a forma como a
tecnologia da informao apia as operaes e processos das empresas, qual das opes abaixo poder ser
escolhida como sendo aquela que possui os elementos fortemente responsveis por este processo?
1. O uso da internet para sites de relacionamento
2. O crescimento explosivo da internet e das suas respectivas tecnologias e aplicaes
3. O crescimento explosivo dos cursos relacionados com a tecnologia da informao
4. O Aumento no consumo de softwares licenciados
5. O crescimento explosivo da venda de computadores e sistemas livres

99- Alm de classificar as ameaas quando a sua intencionalidade, tambm podemos classific-las quanto a sua
origem, neste caso quais das opes abaixo apresenta a classificao quanto a origem para as ameaas ?
1. Secreta e Oculta
2. Conhecida e Externa
3. Secreta e Externa
4. Interna e Externa
5. Interna e Oculta

100- A anlise de vulnerabilidade permite que os profissionais de segurana e TI da empresa possam ter maior
conhecimento do ambiente de TI e seus problemas. Qual das opes abaixo no um exemplo de teste de
vulnerabilidade lgica em maquinas de uma rede alvo?
1. Aplicativos instalados.
2. Rudos eltricos na placa wireless.
3. Os Sistemas operacionais utilizados.
4. Patches e service packs aplicados.
5. Verificar as portas do protocolo TCP/IP que se encontram desprotegidas (abertas).

101- Qual das opes abaixo apresenta o documento integrante da Poltica de Segurana da Informao onde so
detalhadas no plano operacional, as configuraes de um determinado produto ou funcionalidade que devem ser
feitas para implementar os controles e tecnologias estabelecidas pela norma.
1. Diretrizes.
2. Normas.
3. Manuais.
4. Procedimentos.
5. Relatrio Estratgico.

102- A organizao deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contnua
pertinncia, adequao, eficcia, oportunidade de melhoria ou necessidade de mudanas. Qual das opes abaixo
No poder ser considerada como um elemento para a realizao desta anlise:
1. Os resultados das auditorias anteriores e anlises crticas;
2. A avaliao das aes preventivas e corretivas;
3. A avaliao dos riscos e incidentes desejados;
4. Vulnerabilidades ou ameaas no contempladas adequadamente nas anlise/avaliaes de risco anteriores;
5. A realimentao por parte dos envolvidos no SGSI.

103- A utilizao de crachs de identificao de colaboradores numa organizao est fundamentalmente associado
a que tipo de proteo ?
1. Recuperao .
2. Preventiva.
3. Reao.
4. Limitao.
5. Correo.

104- Como qualquer bem ou recurso organizacional, a informao tambm possui seu conceito de valor . Neste
contexto qual das opes abaixo indica o tipo de valor da informao que pode ser atribudo ao seguinte conceito:
o quanto o usurio est disposto a pagar, conforme as leis de mercado (oferta e demanda).
1. Valor de restrio.
2. Valor de troca .
3. Valor de utilidade.
4. Valor de propriedade.
5. Valor de uso.

105-O que ocorre quando uma ameaa explora uma ou mais vulnerabilidades de um ativo segundo os conceitos da
Segurana da Informao?
1. Uma falha na ameaa do ativo.
2. Um acidente de Segurana da Informao.
3. Uma tentativa de Segurana.
4. Um Incidente de Segurana.
5. Um tratamento de vulnerabilidades

106- Qual das ameaas abaixo no uma funo diretiva primria realizada por um Spyware?
1. Monitoramento de URLs acessadas enquanto o usurio navega na Internet
2. Alterao da pgina inicial apresentada no browser do usurio;
3. Captura de outras senhas usadas em sites de comrcio eletrnico;
4. Alterao ou destruio de arquivos;
5. Captura de senhas bancrias e nmeros de cartes de crdito

107- Se um invasor mal intencionado desejasse utilizar de uma ferramenta para mapear potenciais vulnerabilidades
em computadores, assegurar o acesso futuro a estes computadores e remover as evidncias de suas aes, qual
ferramenta (malware) ele utilizaria como sendo a mais eficaz dentre as apresentadas na opes abaixo ?
1. Bot
2. Rootkit
3. Spyware
4. Worm
5. Adware

108- O valor da informao para as empresas considerado, na atualidade, como algo imensurvel. Nos ltimos
anos, a demanda gradual por armazenamento de conhecimento tem levado necessidade de administrao desses
dados de forma confivel. Neste contexto qual das opes abaixo poder definir melhor o conceito de Dado?
1. Elemento identificado em sua forma bruta e que por si s conduz a varias compreenses de fatos ou
situaes.
2. Elemento identificado em sua forma trabalhada e que por si s conduz a vrias compreenses de fatos e
situaes.
3. Elemento no identificado e que por si s no conduz a uma compreenso de determinado fato ou situao.
4. Elemento identificado em sua forma trabalhada que por si s no conduz a uma compreenso de
determinado fato ou situao.
5. Elemento identificado em sua forma bruta e que por si s no conduz a uma compreenso de
determinado fato ou situao.

109- O programa que capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador
que podem ser desde o texto de um e-mail, at informaes mais sensveis, como senhas bancrias e nmeros de
cartes de crdito conhecido como:
1. backdoor
2. Virus
3. Spyware
4. Keylogger
5. Exploit

110- Joo coordena a rea de segurana na empresa XPTO e tem conhecimento de que a negligncia por parte dos
administradores de rede e a falta de conhecimento tcnico de alguns usurios so exemplos tpicos de
vulnerabilidade. Por conta disso implementou medidas que impedem a configurao e a instalao indevidas de
programas de computador/sistemas operacionais que poderiam levar ao uso abusivo dos recursos por parte de
usurios mal-intencionados e que neste caso representam exemplos de vulnerabilidade :
1. De hardware;
2. Natural;
3. Humana;
4. De Software;
5. De Mdia;

111-Qual das opes abaixo descreve um tipo de ataque que consiste em enviar um excessivo nmero de pacotes
PING para o domnio de broadcast da rede? Neste tipo de ataque o endereo de origem utilizado o endereo IP da
vtima desejada, de forma que todos os hosts do domnio de broadcast iro responder para este endereo IP , que
foi mascarado pelo atacante.
1. Phishing Scan
2. Shrink Wrap Code
3. Dumpster Diving ou Trashing
4. Smurf
5. Fraggle

112- As vulnerabilidades esto presentes no dia-a-dia das empresas e se apresentam nas mais diversas reas de uma
organizao, a todo instante os negcios, seus processo e ativos fsicos, tecnolgicos e humanos so alvos de
investidas de ameaas de toda ordem. Qual das opes abaixo descreve o melhor conceito de Vulnerabilidade na
tica da Segurana da Informao?
1. Fragilidade presente ou associada a ativos que exploram ou processam informaes .
2. Impacto presente ou associada a ativos que manipulam ou processam informaes.
3. Ameaa presente ou associada a ativos que manipulam ou processam informaes.
4. Fragilidade presente ou associada a ameaas que manipulam ou processam informaes .
5. Fragilidade presente ou associada a ativos que manipulam ou processam informaes

113- A utilizao inadequadas dos dispositivos de armazenamento das informaes, podem deixar seu contedo
vulnervel a uma srie de fatores que podero afetar a integridade, a disponibilidade e a confidencialidade das
informaes. Este tipo de vulnerabilidade classificada como:
1. Hardware;
2. Mdia;
3. Humana;
4. Software;
5. Comunicao;

114- Qual opo abaixo representa a descrio do Passo Manuteno do Acesso dentre aqueles que so realizados
para um ataque de segurana ?
1. O atacante procura coletar o maior nmero possvel de informaes sobre o alvo em avaliao.
2. O atacante de tentar camuflar seus atos no autorizados com o objetivo de prolongar sua permanncia.
3. O atacante penetra do sistema para explorar vulnerabilidades encontradas. sistema.
4. O atacante tenta manter seu prprio domnio sobre o sistema.
5. O atacante explora a rede baseado nas informaes obtidas na fase de reconhecimento

115- Quando devem ser executadas as aes corretivas?
1. Devem ser executadas para garantir as causas da no-conformidade com os requisitos do SGSI de forma a
evitar a sua repetio
2. Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar
a sua repetio
3. Devem ser executadas somente para eliminar o resultado da no-conformidade com os requisitos do SGSI
de forma a evitar a sua repetio
4. Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua
repetio
5. Devem ser executadas para eliminar as causas da no-conformidade com os requisitos do SGSI de forma a
evitar a sua repetio

116- Alm da anlise de vulnerabilidade tambm muito importante que o profissional de TI periodicamente realize
uma pesquisa de vulnerabilidade . Qual das opes abaixo define o conceito de Pesquisa de Vulnerabilidades?
1. Descobrir as vulnerabilidades essenciais para o funcionamento de um sistema.
2. Descobrir quais usurios esto cadastrados na rede.
3. Descobrir as ineficincias de um sistema de cadastro.
4. Descobrir as falhas de ameaas que devem ser utilizadas num produto.
5. Descobrir as falhas e deficincias em um produto ou aplicao que podem comprometer a segurana.

117- Qual das opes abaixo representa o tipo de Mtodo utilizado para a anlise e avaliao dos riscos onde so
utilizados termos numricos para os componentes associados ao risco.
1. Mtodo Numrico.
2. Mtodo Classificatrio.
3. Mtodo Exploratrio.
4. Mtodo Qualitativo.
5. Mtodo Quantitativo.

118- A organizao deve executar aes para melhorar continuamente a eficcia do SGSI. Estas aes ocorrem
atravs: do uso da poltica de segurana, dos objetivos de segurana, resultados de auditorias, da anlise dos
eventos monitorados e atravs de aes:
1. Corretivas e Preventivas.
2. Corretivas e Corrigidas.
3. Preveno e Preventivas.
4. Corrigidas e Preventivas.
5. Corretivas e Correo.

119- Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque DDoS
e foi descrito como o maior j sofrido pela empresa. C omo resultado desse ataque, quase 18 MILHES de blogs,
incluindo os que fazem parte do servio VIP da empresa sofreram com problemas nos acessos. Entre eles, esto
inclusos o Financial Post, o Nacional Post e o TechC runch. O tamanho ataque alcanou vrios Gigabits por segundo e
alguns milhes de pacotes por segundo. Apesar do ataque ter atingido trs data centers do Wordpress, a
investigao suspeita que o ataque tenha tido motivaes polticas e o alvo tenha sido um blog.
Qual voc acha que foi a vulnerabilidade para este ataque?
1. Vulnerabilidade Fsica
2. Vulnerabilidade Mdias
3. Vulnerabilidade C omunicao
4. Vulnerabilidade Natural
5. Vulnerabilidade Software
120- instalaes fsicas a rea de desenvolvimento de sistemas. O prazo de retorno para as atividades neste local
fsico ser de pelo menos 15 dias, o que acarretar no estouro do prazo dos projetos j em andamento. A empresa Y
foi contratada para realizar o servio de desenvolvimento enquanto as instalaes fsicas da re de desenvolvimento
no fica operacional. Neste caso qual a estratgia de contingenciamento que est sendo aplicada?
1. Hot-site
2. Realocao de operao
3. C old-site
4. Bureau de service
5. Acordo de reciprocidade

121- Segundo a NBR ISO/IEC 27002 a poltica de segurana pode ser parte de um documento da poltica geral.
Normalmente o documento de poltica geral dividido em vrios documentos. Qual das opes abaixo apresenta
um conjunto tpico destes documentos?
1. Diretrizes; Manuais e Procedimentos
2. Diretrizes; Normas e Procedimentos
3. Manuais; Normas e Procedimentos
4. Manuais; Normas e Relatrios
5. Diretrizes; Normas e Relatrios

122- Como qualquer bem ou recurso organizacional, a informao tambm possui seu conceito de valor . Qual das
opes abaixo indica o tipo de valor da informao que pode ser atribudo ao seguinte conceito: Surge no caso
de informao secreta ou de interesse comercial, quando o uso fica restrito a apenas
algumas pessoas.
1. Valor de uso.
2. Valor de troca.
3. Valor de negcio.
4. Valor de restrio.
5. Valor de propriedade.

123- Voc precisa elaborar um relatrio com o resultado da anlise de vulnerabilidades que foi realizada na sua
empresa. Voc percebeu que no levantamento das vulnerabilidades do ambiente de TI foram encontradas
inconsistncias. Qual das opes abaixo no pode ser considerada como um exemplo de um tipo de vulnerabilidade
que pode ser encontrada num ambiente de TI?
1. Fraqueza de segurana/falhas nos scripts que executam nos servidores web.
2. Falhas nas implementaes de segurana nos compartilhamentos de rede e arquivos.
3. Falha na transmisso de um arquivo por uma eventual queda de energia.
4. Falhas nos softwares dos equipamentos de comunicaes.
5. Fraqueza nas implementaes de segurana dos sistemas operacionais/aplicativos.

124- Voc est trabalhando em um projeto de segurana e deseja implementar mecanismos de segurana contra as
ameaas que so capazes de armazenar a posio do cursor e a tela apresentada no monitor, nos momentos em que
o mouse clicado. Neste caso podemos classificar esta ameaa como sendo um:
1. Screensavers
2. Screenloggers
3. Keyloggers
4. Screenware
5. Cavalo de tria

125- Como no existe uma nica causa para o surgimento das vulnerabilidades, diferentes tipos de vulnerabilidade
podem estar presente em diversos ambientes computacionais. Neste sentido qual das opes abaixo no representa
um exemplo de tipo de vulnerabilidade?
1. Hardware.
2. Vrus.
3. Humana.
4. Mdia.
5. Natural.

126- Um tipo de software especificamente projetado para apresentar propagandas, seja atravs de um browser, seja
atravs de algum outro programa instalado em um computador pode ser descrito como sendo um:
1. Worm
2. Spyware
3. Java Script
4. Active-x
5. Adware

127- No contexto da Segurana da Informao, a medida que indica a probabilidade de uma determinada ameaa se
concretizar, combinada com os impactos que ela trar est relacionada com qual conceito de?
1. Impacto.
2. Risco.
3. Ameaa.
4. Vulnerabilidade.
5. Valor.

128- Qual opo abaixo representa a descrio do Passo Levantamento das Informaes dentre aqueles que so
realizados para um ataque de segurana ?
1. O atacante tenta manter seu prprio domnio sobre o sistema
2. O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema.
3. O atacante procura coletar o maior nmero possvel de informaes sobre o "alvo em avaliao".
4. O atacante explora a rede baseado nas informaes obtidas na fase de reconhecimento
5. O atacante de tentar camuflar seus atos no autorizados com o objetivo de prolongar sua permanncia.

129- Qual opo abaixo representa a descrio do Passo Levantamento das Informaes dentre aqueles que so
realizados para um ataque de segurana ?
1. A atacante tenta manter seu prprio domnio sobre o sistema
2. O atacante de tentar camuflar seus atos no autorizados com o objetivo de prolongar sua permanncia.
3. O atacante procura coletar o maior nmero possvel de informaes sobre o "alvo em avaliao".
4. O atacante explora a rede baseado nas informaes obtidas na fase de reconhecimento
5. O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema.

130- Como no existe uma nica causa para o surgimento das vulnerabilidades, diferentes tipos de vulnerabilidade
podem estar presente em diversos ambientes computacionais. Qual das opes abaixo"NO" representa um
exemplo de tipo de vulnerabilidade?
1. Fsica
2. Comunicao
3. Humana
4. Natural
5. Administrativa

131-Suponha que um invasor mal intencionado desejasse observar o padro das mensagens enviadas, de forma a
poder determinar o local e a identidade dos envolvidos na comunicao e ainda observar a frequncia e o tamanho
das mensagens trocadas. Qual o tipo de ataque ele utilizaria dentre as opes apresentadas abaixo ?
1. Ativo - anlise de trfego
2. Passivo - interceptao do contedo da mensagem (liberao)
3. Ativo - interceptao do contedo da mensagem (liberao)
4. Passivo - anlise de trfego
5. Ativo - Repetio da mensagem

132- Voc um consultor de segurana e trabalha em projetos de segurana da informao, que tem como uma das
suas etapas a atividade de classificao dos ativos da organizao. Qual das opes abaixo no representa um
exemplo de Ativo Intangvel:
1. Confiabilidade de um Banco.
2. Marca de um Produto.
3. Sistema de Informao.
4. Qualidade do Servio.
133- Voc trabalha na equipe de gesto de risco da sua empresa e tem percebido que mesmo aps todas as medidas
de tratamento de risco terem sido adotas, sempre existe alguma poro de risco que no eliminada. Neste caso
estamos nos referindo a que tipo de risco:
1. Risco real;
2. Risco verdadeiro;
3. Risco residual;
4. Risco percebido;
5. Risco tratado;

134- Qual das opes abaixo no representa uma das etapas da Gesto de Risco:
1. Manter e melhorar os riscos identificados nos ativos
2. Identificar e avaliar os riscos.
3. Verificar e analisar criticamente os riscos.
4. Selecionar, implementar e operar controles para tratar os riscos.
5. Manter e melhorar os controles

135- As Ameaas decorrentes de fenmenos da natureza, como incndios naturais, enchentes, terremotos e etc.
podero ser classificadas como:
1. Globalizadas.
2. Da natureza.
3. Ocasionais.
4. Naturais.
5. Destrutivas.

136- Os possveis defeitos de fabricao ou configurao dos equipamentos das empresas que podem permitir o
ataque ou a alterao dos mesmos so classificados como vulnerabilidades de:
1. Hardware;
2. Mdia;
3. Software;
4. Comunicao;
5. Humana;

137- Aps conseguir realizar o levantamento das informaes da empresa XPTO e acessar o servidor de banco de
dados com as informaes dos clientes da organizao. Pedro, o invasor, tenta esconder seus atos no autorizados
com o objetivo de prolongar sua permanncia de acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste
caso, Pedro est em que passo da metodologia de um ataque?
1. Explorao das Informaes
2. Obteno de Acesso
3. Camuflagem das Evidncias
4. Divulgao do Ataque
5. Levantamento das Informaes

138- Qual dos exemplos abaixo no pode ser considerado como sendo claramente um cdigo malicioso ou Malware?
1. worm
2. trojan horse
3. active-x
4. keyloggers
5. rootkit

139- Qual das opes abaixo refere-se ao conceito definido pela RFC 2828 do Internet Security Glossary : Potencial
para violao da segurana quando h uma circunstncia, capacidade, ao ou evento que pode quebrar a segurana
e causar danos .
1. Ameaa.
2. Confidencialidade.
3. Incidente.
4. Vulnerabilidade.
5. Impacto.
140- A norma NBR ISO/IEC 27002 orienta que a organizao deve prevenir o acesso fsico no autorizado, danos e
interferncias com as instalaes e informaes da organizao. Neste caso a NBR ISO/IEC 27002 est fazendo
referencia a que tipo de ao de Segurana:
1. Controle de Acesso.
2. Gerenciamento das Operaes e Comunicaes.
3. Segurana dos Ativos.
4. Segurana Fsica e do Ambiente.
5. Segurana em Recursos Humanos.

141- Qual das opes abaixo demonstra a seqncia correta de elementos e eventos que fazem parte de um
processo de anlise da Segurana da Informao?
1. As Ameaas exploram as Vulnerabilidades ocorrendo em Incidentes de Segurana que afetam os
processos de negcio resultando em Impactos para as organizaes.
2. As Ameaas exploram os Incidentes ocorrendo em Ativos de Segurana que afetam os processos de negcio
resultando em Vulnerabilidades para as organizaes.
3. Os Ativos exploram as Vulnerabilidades ocorrendo em Incidentes de Segurana que afetam os processos de
negcio resultando em Controles para as organizaes.
4. Os Ativos exploram as Vulnerabilidades ocorrendo em Controles de Segurana que afetam os processos de
negcio resultando em Impactos para as organizaes.
5. As Ameaas exploram os Incidentes ocorrendo em Vulnerabilidades de Segurana que afetam os processos
de negcio resultando em Impactos para as organizaes.

142- Voc trabalha na rea de segurana da sua empresa e com objetivo de reduzir os riscos na rea de Banco de
Dados, pretende instalar dispositivos de autenticao de acesso fsico, que ser implementado atravs de dispositivo
biomtrico. Neste caso que tipo de barreira voc est implementando?
1. Desencorajar
2. Discriminar
3. Deter
4. Dificultar

143- O processo de identificar as protees existentes e ausentes, identificar falhas nas existentes e levantar dados
que possam prever a efetividade desse conjunto de protees pode ser descrito em qual das opes abaixo?
1. Ativo
2. Anlise de Vulnerabilidade
3. Analise de Escopo
4. Ameaa
5. Analise de Incidente

144- Voc est trabalhando em um projeto de segurana e necessita identificar os principais tipos de ameaas que
podem comprometer a segurana da informao na sua empresa. Foram detectados em algumas mquinas
programas que permitem o retorno de um invasor a um computador comprometido utilizando servios criados ou
modificados para este fim e sem precisar recorrer aos mtodos utilizados na invaso. Neste caso podemos classificar
esta ameaa como sendo um:
1. Bots
2. Backdoor
3. Worm
4. Virus
5. Spyware

145- Voc trabalha na rea de administrao de rede est percebendo que a rede tem apresentado um
comportamento diferente do normal. Voc desconfia que possam estar ocorrendo ataques a alguns servidores, e
precisa utilizar alguma ferramenta para realizar o levantamento peridico do que est ocorrendo no trfego da rede.
Neste caso voc ir utilizar:
1. Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede;
2. Um detector de intruso para realizar a anlise do trfego da rede;
3. Um sniffer de rede, para analisar o trfego da rede;
4. Um analisador de protocolo para auxiliar na anlise do trfego da rede;
5. Um filtro de pacotes, para verificar quais pacotes esto sendo verificados pelos firewall;

146- Podemos afirmar que um Ataque pode ser derivado de uma ameaa inteligente, ou seja, a tentativa deliberada
de burlar os servios de segurana e violar a poltica de segurana de um sistema?
1. No, a afirmao falsa, esta a afirmao de uma vulnerabilidade.
2. No, a afirmao falsa, pois um ataque no derivado de uma ameaa
3. A afirmao verdadeira, pois um ataque derivado de uma ameaa inteligente
4. A afirmao falsa pois este tipo de ataque no existe.
5. A afirmao s seria verdadeira se a ameaa no fosse inteligente

147- Paulo consultor de uma empresa de segurana e foi contratado para desenvolver a poltica de segurana da
empresa Blue. Nesta fase do projeto Paulo necessita elaborar documento, integrante da Poltica de Segurana da
Informao, onde dever detalhar as configuraes operacionais da rotina de Backup da empresa. Neste caso Paulo
estar elaborando:
1. Manuais.
2. Normas.
3. Diretrizes.
4. Relatrio Estratgico.
5. Procedimentos.

148- So consideradas as principais causas das ocorrncias de incidentes de segurana:
1. Vulnerabilidades
2. Ataques
3. Informaes
4. Pessoas
5. Ameaas

149- Cada empresa ao tratar segurana da informao e independentemente de sua rea de negcio e dos objetivos
de segurana que deseje, normalmente ir utilizar um ou os trs princpios considerados como fundamentais para
atingir os objetivos da Segurana da Informao:
1. Confidencialidade, Descrio e Integridade.
2. Confidencialidade, Indisponibilidade e Integridade.
3. Confidencialidade, Disponibilidade e Integridade.
4. Confiabilidade, Disponibilidade e Integridade.
5. Confiabilidade, Disponibilidade e Intencionalidade.

150- Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmisses?
1. Fraco
2. Passivo
3. Forte
4. Secreto
5. Ativo

151- Em meio a tantas mudanas tecnolgicas, sociolgicas e comportamentais surgem tambm muitos desafios de
negcios e gerenciais no desenvolvimento e implementao de novos usos da tecnologia da informao em uma
empresa. Neste contexto qual o objetivo fundamental da Segurana da Informao?
1. Visam proteo alguns poucos ativos de uma empresa que contm informaes.
2. Visa proteo dos equipamentos de uma empresa que contm informaes.
3. Visa principalmente proteo dos ativos patrimoniais que contm informaes.
4. Visa proteo, com o foco na internet da empresa, dos ativos que contm informaes.
5. Visa proteo de todos os ativos de uma empresa que contm informaes.

152- Segundo os princpios da Segurana da Informao, qual das opes abaixo representa melhor o conceito de
Ativos de Informao?
1. So aqueles que produzem, processam, renem ou expem informaes.
2. So aqueles tratam, administram, isolam ou armazenam informaes.
3. So aqueles que produzem, processam, transmitem ou armazenam informaes.
4. So aqueles que organizam, processam, publicam ou destroem informaes.
5. So aqueles que constroem, do acesso, transmitem ou armazenam informaes.

153- A informao tambm possui seu conceito de valor e que est associado a um contexto, podendo gerar lucros
ou ser alavancadora de vantagem competitiva e at mesmo possuir pouco ou nenhum valor. No contexto da
segurana da informao o que consiste o processo de classificao da informao ?
1. Identificar quais so os nveis de proteo que as informaes demandam e estabelecer classes e formas
de identific-las, e determinar os controles de proteo para cada uma delas.
2. Identificar quais so os nveis de vulnerabilidades que as informaes demandam e estabelecer classes e
formas de identific-las, e determinar os riscos de proteo para cada uma delas.
3. Identificar quais so os nveis de ameaas que as informaes demandam e estabelecer classes e formas de
identific-las, e determinar os controles de proteo para cada uma delas.
4. Identificar quais so os nveis de proteo que as informaes demandam e estabelecer classes e formas de
identific-las, e determinar as ameaas de proteo para cada uma delas.
5. Identificar quais so os nveis de vulnerabilidades que as informaes demandam e estabelecer classes e
formas de identific-las, e determinar os controles de proteo para cada uma delas.

154- O que ocorre quando uma ameaa explora uma ou mais vulnerabilidades de um ativo segundo osvconceitos da
Segurana da Informao?
1. Um Incidente de Segurana.
2. Uma tentativa de Segurana.
3. Um tratamento de vulnerabilidades.
4. Uma falha na ameaa do ativo.
5. Um acidente de Segurana da Informao.

155- Marcelo analista de suporte da empresa X e est responsvel pela instalao dos equipamentos de rede.
Durante a instalao do novo roteador, Marcelo saiu para tomar um caf e no percebeu que ocorreram vrios erros
na instalao do equipamento. Neste caso ocorreu um exemplo de vulnerabilidade :
1. Humana;
2. Natural;
3. De hardware;
4. De Mdia;
5. De Software;

156- Voc est alocado a um projeto de segurana da informao, que tem em uma das suas etapas a atividade de
classificao dos ativos da organizao. Qual das opes abaixo no representa um exemplo de Ativo Tangvel:
1. Sistemas.
2. Marca de um Produto.
3. Mveis.
4. Documentos .
5. Pessoas.

157- Voc trabalha em uma empresa de comrcio eletrnico e descobriu que seu concorrente est tentando
prejudicar os negcios de sua empresa atravs de um ataque DDoS. Como voc classificaria este ataque:
1. Forte
2. Fraco
3. Secreto
4. Ativo
5. Passivo

158- As ameaas so agentes ou condies que causam incidentes que comprometem as informaes e seus ativos
por meio da explorao de vulnerabilidades. Qual das opes abaixo apresenta as possveis classificaes das
ameaas quanto a sua intencionalidade?
1. Ocasionais, Involuntrias e Obrigatrias.
2. Naturais, Voluntarias e Obrigatrias.


3. Naturais, Voluntarias e Vulnerveis.
4. Naturais, Involuntrias e Voluntarias.
5. Naturais, Involuntrias e Obrigatrias.

159- O ciclo de vida de uma informao composto e identificado pelos momentos vividos pela informao que a
colocam em risco. Qual das opes abaixo apresenta os momentos vividos pela informao dentro do conceito do
Ciclo da Informao ?
1. Manuseio, Armazenamento, Transporte e Guarda.
2. Manuseio, Armazenamento, Transporte e Descarte.
3. Manuseio, Armazenamento, Utilizao e Descarte.
4. Troca, Armazenamento, Transporte e Descarte.
5. Manuseio, Leitura, Transporte e Descarte.

160- Voc o administrador de rede de um grande empresa e para complementar a implementao da Segurana
da Informao em sua organizao voc instalou uma soluo de antivrus, que neste caso est fundamentalmente
associado a que tipo de proteo ?
1. Reao
2. Deteco
3. Limitao
4. Preventiva
5. Correo

161- Quando devem ser executadas as aes preventivas, no contexto de um SGSI (Sistema de Gesto de Segurana
da Informao)?
1. Devem ser executadas para determinar as causas de conformidades potenciais com os requisitos do SGSI, de
forma a garantir a sua ocorrncia.
2. Devem ser executadas para eliminar as causas de no-conformidades potenciais com os requisitos do
SGSI, de forma a evitar a sua ocorrncia.
3. Devem ser executadas para garantir as causas de no-conformidades potenciais com os requisitos do SGSI,
de forma a evitar a sua ocorrncia.
4. Devem ser executadas para determinar as causas de no-conformidades potenciais com os requisitos do
SGSI, de forma a evitar a sua ocorrncia.
5. Devem ser executadas para eliminar as causas de conformidades potenciais com os requisitos do SGSI, de
forma a garantir a sua ocorrncia.

162- Para que um ataque ocorra normalmente o atacante dever seguir alguns passos at o seu objetivo, qual das
opes abaixo No representa um destes passos?
1. Obteno de Acesso
2. Camuflagem das Evidencias
3. Divulgao do Ataque
4. Levantamento das Informaes
5. Explorao das Informaes

163- Existe uma srie de fatores que impactam na segurana de uma organizao. A ausncia de um mecanismo de
proteo ou falhas em um mecanismo de proteo existente est relacionada com o conceito de?
1. Vulnerabilidade.
2. Risco.
3. Valor.
4. Impacto.
5. Ameaa.

164- A NBR ISO/IEC 27002 orienta que a organizao assegurar que funcionrios, fornecedores e terceiros entendam
suas responsabilidades e estejam de acordo com os seus papis de forma a reduzir o risco de furto ou roubo, fraude
ou mau uso dos recursos. Neste caso a NBR ISO/IEC 27002 est fazendo referencia a que tipo de ao de Segurana:
1. Segurana dos Ativos.
2. Gerenciamento das Operaes e Comunicaes.
3. Controle de Acesso.
4. Segurana Fsica e do Ambiente.
5. Segurana em Recursos Humanos.
Abertas
No contexto da segurana da informao , defina os conceitos de Ativo, Vulnerabilidade e Ameaa.
RESPOSTA:
Ativo: qualquer coisa que tenha valor para a organizao. Vulnerabilidade: A ausncia de um mecanismo de
proteo ou falhas em um mecanismo de proteo existente. Ameaa: Evento que tem potencial em si prprio
para comprometer os objetivos da organizao, seja trazendo danos diretos aos ativos ou prejuzos decorrentes
de situaes inesperadas.

No mbito da segurana da Informao, uma das etapas de implementao a classificao da Informao. Em que
consiste o processo de classificao da Informao?
RESPOSTA: O processo de classificao da informao consiste em identificar quais so os nveis de proteo que
as informaes demandam e estabelecer classes e formas de identific-las, alm de determinar os controles de
proteo a cada uma delas.

Entre os tipos de ataques existentes, descreva as diferenas entre um ataque do tipo Fraggle e do tipo Smurf.
Gabarito: Um ataque do tipo Fraggle consitem no envio de um excessivo nmero de pacotes PING para o domnio
de broadcast da rede, tendo como endereo IP de origem, a vtima desejada. Dessa forma todos os hosts do
domnio de broadcast iro responder para o endereo IP da vtima, que foi mascarado pelo atacante, ficando
desabilitada de suas funes normais. J um ataque do tipo smurf idntico ao atque Fraggle, alterando apenas o
fato que utiliza-se de pacotes do protocolo UDP.

Entre os tipos de ataques existentes, descreva as diferenas entre um ataque do tipo SQL Injection e um ataque
de Buffer Overflow?
Gabarito: Ataque do tipo SQL Injection um tipo de ataque que se aproveita de falhas em sistemas que interagem
com bases de dados atravs da utilizao de SQL. A injeo de SQL ocorre quando o atacante consegue inserir uma
srie de instrues SQL dentro de uma consulta (query) atravs da manipulao das entrada de dados de uma
aplicao. J o ataque de Buffer overflow consiste em enviar para um programa que espera por uma entrada de
dados qualquer, informaes inconsistentes ou que no esto de acordo com o padro de entrada de dados.

Dado o carter abstrato e intangvel da informao, seu valor est associado a um contexto. A informao ter valor
econmico para uma organizao se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrrio
poder ter pouco ou nenhum valor. Neste sentido descreva o ciclo de vida da informao, identificando os
momentos vividos pela informao.
Gabarito: Manuseio: Momento em que a informao criada e manipulada. Armazenamento: Momento em que a
informao armazenada. Transporte: Momento em que a informao transportada. Descarte: Momento em
que a informao descartada.

Um Analista de segurana dever ter familiaridade com as ferramentas, tcnicas, estratgias e metodologias de
ataques conhecidos para que possa desta forma contribuir com a definio correta de quais contramedidas devero
ser adotadas pela organizao. Descreva os cinco passos utilizados pelos atacantes para realizar um ataque:
Gabarito:
1- Levantamento das informaes: fase de reconhecimento uma fase preparatria onde o atacante procura
coletar o maior nmero possvel de informaes sobre o alvo em avaliao antes do lanamento do ataque.
Podem ser: ativo e passivo.
2- Explorao das informaes (scanning): Fase onde o atacante explora a rede baseado nas informaes obtidas
na fase de reconhecimento. Pode ser considerado uma fase de pr-ataque envolve a utilizao de diferentes
tcnicas e softwares, como por exemplo, a utilizao de port scan, scanner de vulnerabilidade e network mapping.
3- Obteno do acesso: Esta fase consiste na penetrao do sistema propriamente dita. Nesta fase so exploradas
as vulnerabilidades encontradas no sistema. Isto pode ocorrer atravs da internet, da rede local, fraude ou roubo.
Nesta fase o atacante poder obter acesso a nvel de: sistema operacional, aplicao e rede.
4- Manuteno do acesso: Nesta fase o atacante tenta manter seu prprio domnio sobre o sistema. Poder
tambm protge-lo de outros atacantes atravs da utilizao de acessos exclusivos obtidos atravs de rootkits,
backdoors ou trojans.
5- Camuflagem das evidncias: Consiste na atividade realizada pelo atacante de tentar camuflar seus atos no
autorizados com o objetivo de prolongar sua permanncia na mquina hospedeira, na utilizao indevida dos
recursos computacionais

Identificar as vulnerabilidades que podem contribuir para as ocorrncias de incidentes de segurana um aspecto
importante na identificao de medidas adequadas de segurana. Qual a diferena entre anlise de vulnerabilidade,
teste de vulnerabilidade e pesquisa de vulnerabilidade?
Gabarito: Anlise vulnerabilidade: Verificar a existncia de falhas de segurana no ambiente de TI das empresas.
Teste de vulnerabilidade: Determinao de que falhas de segurana podem ser aplicadas mquina ou rede alvo.
Pesquisa de vulnerabilidade: Significa descobrir as falhas e deficincia em um produto ou aplicao que podem
comprometer a segurana.