 Pergunta 1

1 em 1 pontos

O planejamento de migração de serviços de TI para a nuvem deve ser detalhado o

suficiente para possibilitar a identificação antecipada de incongruências do esforço de
migração, mas também flexível o suficiente para permitir a reorientação das ações frente
aos problemas que certamente deverão ocorrer no longo caminho até se alcançar o
sucesso final. Um plano de migração compreende 5 etapas: preparação, planejamento,
agendamento, pré-migração e migração.

Qual das opções a seguir NÃO descreve uma ação executada em nenhuma das 5 etapas
do plano de migração para a nuvem?

Resposta b.
Selecionada: Decommissioning-Over: afrouxamento dos requisitos de segurança contidos nas
políticas de segurança e privacidade internas.
Respostas: a.
Elaboração do Cut-Off Plan, descrevendo em detalhes atividades, pré e pós
requisitos, papéis e responsabilidades das equipes envolvidas.

b.
Decommissioning-Over: afrouxamento dos requisitos de segurança contidos nas
políticas de segurança e privacidade internas.
c.
Definição do Rollback: procedimentos para retorno ao estado anterior em
caso de falha da migração da aplicação para a nuvem.
d.
Migração: transferência da aplicação, configuração do workload, configuração
de controles, ativação e validação dos resultados.
e.
Liberação: aprovação dos usuários finais, inclusão da aplicação no escopo de
gestão de serviços de nuvem e liberação para áreas de negócio.
Feedback A resposta correta é a alternativa “b”. Decommissioning-Over: afrouxamento dos
da requisitos de segurança contidos nas políticas de segurança e privacidade
resposta: internas. Em nenhum momento os requisitos das políticas de segurança e
privacidade podem deixar de ser atendidos. A migração de uma aplicação
para o ambiente de nuvem compreende: (1) elaboração do Cut-Off
Plan (relaciona as atividades em detalhes, pré e pós-requisitos, responsáveis
envolvidos); (2) preparação do Rollback (procedimento para retorno ao estado
anterior em caso de falha); (3) alocação dos recursos (hardwares, máquinas
virtuais, bancos de dados, linhas de comunicação); (4) execução (migração
efetiva e validação dos resultados na operação); (5) liberação (aplicação
liberada para uso).
As demais opções descrevem ações válidas que são executadas durante uma
das cinco fases do plano de migração.

 Pergunta 2
1 em 1 pontos

Cada vez mais os recursos de criptografia estão se revelando como uma ferramenta
essencial para a garantia dos requisitos de segurança e privacidade no ambiente de nuvem,
com diversas aplicações.
 Qual das opções a seguir decreve corretamente uma aplicação de criptografia no ambiente
de nuvem?

Resposta Selecionada: d.
Atendimento a requisitos de políticas de segurança e privacidade.
Respostas: a.
Eliminação de falhas de segurança em aplicações de nuvem.
b.
Localização e destruição de dados de clientes em storages de nuvem.
c.
Controle de tráfego de redes virtuais.

d.
Atendimento a requisitos de políticas de segurança e privacidade.
e.
Controle da compartimentalização de ambientes altamente virtualizados.
Feedback A resposta correta é a alternativa “d”. Atendimento a requisitos de políticas de
da resposta: segurança e privacidade.

Os recursos de criptografia podem ser aplicados no ambiente de nuvem para:

(1) proteção de dados armazenados e em movimento contra acesso não
autorizado; (2) controle de integridade de dados; (3) autenticação de
identidades de usuários; (4) atendimento de requisitos de políticas de
segurança e privacidade e da legislação à qual o ambiente de nuvem esteja
submetido.

As demais opções são incorretas porque não descrevem aplicações de

criptografia no ambiente de nuvem.

 Pergunta 3
1 em 1 pontos

IoT (Internet of Things, em inglês) foi o nome genérico dado à inclusão de recursos
computacionais de processamento, memória e comunicação de dados em dispositivos e
equipamentos do nosso mundo material (real). Um dos seus maiores problemas são as
questões de garantia da segurança de sua implantação em todo o ciclo de vida dos
dispositivos.
Qual das opções a seguir descreve uma boa prática de garantia de segurança para IoT?

Resposta a.
Selecionada: Garantir atualizações automáticas de software nos dispositivos.

Respostas: a.
Garantir atualizações automáticas de software nos dispositivos.

b.
Ativar todos os recursos possíveis de comunicação para garantir a
conectividade total dos dispositivos.
c.
Integrar as redes de dispositivos IoT com as redes locais domésticas e
empresariais, sempre que possível.
 d.
Desativar o controle por senha forte para login nos dispositivos para entrar no
modo de verificação de integridade dos softwares.
e.
Manter as configurações de fábrica dos dispositivos, impedindo que os
usuários possam reduzir o nível de segurança predefinido.
Feedback A resposta correta é a alternativa “a”. Garantir atualizações automáticas de
da software nos dispositivos. No ambiente de IoT, todos os demais dispositivos
resposta: são considerados inseguros e passíveis de lançar ataques de segurança;
dispositivos de IoT precisam receber os mesmos cuidados de proteção contra
falhas de software que aquelas designadas para a proteção de segurança de
smartphones e computadores, como segregação de tráfego da rede, uso de
controle de acesso por senhas fortes e alteração das configurações originais
de fábrica para atender aos requisitos de políticas de segurança locais.

As demais opções estão incorretas, respectivamente, porque: (b) recursos

não utilizados devem ser desinstalados/desativados; (c) as redes de IoT
devem ser separadas das redes de dados, reduzindo a possibilidade de
invasões que iniciem ataques aos dispositivos; (d) o controle de acesso por
senha forte deve estar sempre ativado; (e) as configurações de fábrica devem
ser alteradas para impedir ataques conhecidos.

 Pergunta 4
1 em 1 pontos

Apesar das preocupações muito justificáveis quanto à garantia do atendimento de requisitos

de segurança no ambiente de nuvem, observa-se na prática uma melhora do nível da
segurança nos casos de pequenas e médias empresas (PMEs) que migram seus serviços
de TI para a nuvem.

Qual das opções a seguir descreve corretamente o motivo dessa elevação do nível de
segurança de PMEs que migram seus serviços de TI para a nuvem?

Resposta c.
Selecionada: A PME contratante não dispõe, em geral, de pessoal técnico qualificado para a
gestão da segurança e os provedores já oferecem soluções-padrão.
Respostas: a.
Os provedores não dispõem de ferramentas-padrão de controle de segurança e
essas PMEs contratam serviços específicos de terceiros.
b.
Somente PMEs que disponham de pessoal qualificado de segurança fazem a
migração para a nuvem, sabendo dos altos riscos envolvidos.

c.
A PME contratante não dispõe, em geral, de pessoal técnico qualificado para a
gestão da segurança e os provedores já oferecem soluções-padrão.
d.
PMEs que migram para a nuvem já decidiram investir fortemente em
segurança, sabendo dos altos riscos envolvidos.
e.
Os provedores selecionam PMEs e só aceitam aquelas que já disponham de
pessoal qualificado para o controle eficaz e eficiente da segurança.
 Feedback A resposta correta é a alternativa “c”. A PME contratante não dispõe, em
da geral, de pessoal técnico qualificado para a gestão da segurança e os
resposta: provedores já oferecem soluções-padrão.

Os provedores de serviço de nuvem já oferecem soluções técnicas para os

problemas de segurança da informação encontrados comumente no ambiente
de negócio de seus clientes. PMEs se beneficiam diretamente dessas
ferramentas e serviços de controle de segurança.

As demais alternativas são incorretas, respectivamente, porque: (a) para

PMEs não há, em geral, uma justificativa para a contratação de serviços
terceirizados de gestão de segurança da informação, em virtude da elevação
dos custos; (b) as PMEs não têm uma preocupação com questões de
segurança da informação e migram interessadas na redução de custos e no
aumento da flexibilidade e disponibilidade; (d) administradores de PMEs não
apresentam comumente um perfil de forte investimento em segurança da
informação; (e) provedores de serviços de nuvem não fazem comumente
seleção de PMEs segundo nível de maturidade de gestão de segurança da
informação.

 Pergunta 5
1 em 1 pontos

A gestão de serviços de nuvem engloba todas as funções necessárias para a operação e o

gerenciamento de serviços oferecidos aos contratantes, como suporte aos negócios,
provisionamento de recursos, configuração de serviços e atendimento de requisitos de
portabilidade e interoperabilidade entre os diferentes elementos do ambiente de
computação em nuvem. Ela está baseada em dois conceitos-chave: orquestração e
automação.

Qual das opções a seguir descreve corretamente a diferença entre orquestração e

automação na nuvem?

Resposta e.
Selecionada: Orquestração administra processos e fluxos de trabalho e automação executa
atividades-fim de configuração e controle na nuvem.
Respostas: a.
Orquestração só envolve aspectos contratuais da prestação de serviços e
automação controla processos e fluxos de trabalho na nuvem.
b.
Orquestração e automação são as mesmas atividades no dia a dia de operação
da nuvem.
c.
Orquestração operacionaliza o suporte às atividades-fim e automação controla
processos e fluxos de trabalho na nuvem.
d.
Orquestração administra processos e fluxos de trabalho e automação tem seu
foco restrito ao controle da manutenção dos elementos da nuvem.

e.
Orquestração administra processos e fluxos de trabalho e automação executa
atividades-fim de configuração e controle na nuvem.
 Feedback A resposta correta é a alternativa “e”. Orquestração administra processos e
da fluxos de trabalho e automação executa atividades-fim de configuração e
resposta: controle na nuvem.

As ferramentas de automação são usadas para a execução de atividades-fim

de gerenciamento da nuvem, promovendo a padronização dos resultados de
configuração de recursos. As ferramentas de orquestração possibilitam a
administração de processos e fluxos de trabalho na nuvem, de maneira a dar
suporte ao provedor para a organização, a coordenação e a administração
dos recursos computacionais necessários visando à entrega final dos
respectivos serviços aos consumidores. A partir da orquestração, é possível
estabelecer, em um alto nível de abstração, como todo um sistema de nuvem
irá operar, dando suporte à sua estratégia de oferta de serviços, além de criar
uma camada de interface com o contratante.

As demais alternativas são incorretas, respectivamente, porque: (a)

orquestração não se envolve com aspectos contratuais da prestação de
serviços e automação não controla processos e fluxos de trabalho na nuvem;
(b) orquestração e automação são atividades distintas; (c) orquestração não
operacionaliza o suporte às atividades-fim e automação não controla
processos e fluxos de trabalho na nuvem, mas sim o contrário; (d) automação
não tem seu foco restrito ao controle da manutenção dos elementos da
nuvem.

 Pergunta 6
1 em 1 pontos

Atualmente, é comum encontrarmos redes locais sem fio com tecnologias distintas
operando na mesma área de cobertura de escritórios e áreas de lazer.

Qual das opções a seguir NÃO contém a descrição de uma ação válida para melhorar o
desempenho de redes Wi-Fi e bluetooth operando na mesma área de cobertura?

Resposta a.
Selecionada: Ativar no Access Point o protocolo de segurança WAP2 para impedir que o sinal
da rede bluetooth reconheça os pacotes da rede Wi-Fi.
Respostas: a.
Ativar no Access Point o protocolo de segurança WAP2 para impedir que o sinal
da rede bluetooth reconheça os pacotes da rede Wi-Fi.
b.
Aumentar o número de Access Points e reduzir potência para limitar
interferências.
c.
Utilizar o padrão 802.11a ou 11n para operar na frequência 5 GHz, eliminando
interferência.
d.
Definir uma política de uso de dispositivos bluetooth no ambiente onde haja
sobreposição da cobertura da rede Wi-Fi.
e.
Conectar nobooks e desktops na rede cabeada para reduzir o número de
usuários das redes sem fio.
Feedback A resposta correta é a alternativa “a”. Ativar no Access Point o protocolo de
da resposta: segurança WAP2 para impedir que o sinal da rede bluetooth reconheça os
 pacotes da rede Wi-Fi, porque a ativação do protocolo de segurança WAP2
não altera o nível de interferência entre redes Wi-Fi e bluetooth.

Redes Wi-Fi e bluetooth operando com ondas de rádio na mesma frequência

causam interferência umas nas outras. Reduzir a potência do sinal da rede
Wi-Fi ou alterar sua frequência de operação reduz a interferência.
Reposicionar impressoras e dispositivos bluetooth para longe de Access
Points também pode auxiliar. Limitar o uso de dispositivos ou conectar
computadores com uma rede cabeada são ações igualmente válidas.

As demais opções estão corretas.

 Pergunta 7
1 em 1 pontos

O modelo de computação em nuvem pressupõe o compartilhamento de investimentos e

serviços com provedores, que são empresas terceirizadas com as quais se divide a
responsabilidade da gestão de recursos disponibilizados no ambiente de nuvem. Daí a
importância da correta elaboração de contratos de prestação de serviços na nuvem entre
empresas contratantes e provedores.

Qual das opções a seguir descreve a correta relação entre contratos e os chamados
Acordos de Nível de Serviço (SLAs)?

Resposta c.
Selecionada: SLAs descrevem características técnicas do contrato de serviços prestados que
são passíveis de medir e controlar objetivamente.
Respostas: a.
SLAs são exigências exclusivas dos provedores de serviços quanto a detalhes
administrativos de execução dos contratos firmados.
b.
SLAs são descrições de detalhes jurídicos que devem ser incluídos no corpo dos
contratos de prestação de serviços.

c.
SLAs descrevem características técnicas do contrato de serviços prestados que
são passíveis de medir e controlar objetivamente.
d.
SLAs reúnem a descrição de todas as características do serviço a ser prestado
que não podem ser objetivamente medidas.
e.
SLAs são uma parte importante dos contratos, estabelecendo as regras de
rescisão, revalidação e encerramento, firmadas entre ambas as partes.
Feedback A resposta correta é a alternativa “c”. SLAs descrevem características
da técnicas do contrato de serviços prestados que são passíveis de medir e
resposta: controlar objetivamente. Os SLAs (Service Level Agreements) são geralmente
apresentados como anexos e descrevem características técnicas específicas
dos serviços a serem prestados, as quais podem ser objetivamente medidas e
controladas. Eles são definidos em comum acordo e servem como garantia
para ambas as partes. SLAs mal definidos em contratos de serviços de
nuvem envolvem características subjetivas ou incorretamente especificadas,
por exemplo.
As demais opções são incorretas, respectivamente, porque: (a) SLAs definem
responsabilidades de contratantes e provedores, no que tange aos aspectos
 técnicos; (b) SLAs não envolvem aspectos jurídicos; (d) SLAs envolvem
aspectos técnicos que podem ser objetivamente comprovados; (e) regras de
rescisão, revalidação e encerramento não devem fazer parte dos SLAs.

 Pergunta 8
1 em 1 pontos

Diversos tipos de serviços foram criados pelos prestadores com base no modelo de
computação em nuvem para atender a demandas de negócio das empresas: SaaS (Software
as a Service), PaaS (Plataform as a Service), Iaas (Infrastructure as a Service).
Qual das opções a seguir apresenta corretamente o tipo de serviço de nuvem e seus
respectivos exemplos típicos associados?

Resposta a.
Selecionada: São exemplos do tipo PaaS de serviços: bancos de dados, ambientes de
desenvolvimento e teste de aplicações, inteligência de negócios.
Respostas: a.
São exemplos do tipo PaaS de serviços: bancos de dados, ambientes de
desenvolvimento e teste de aplicações, inteligência de negócios.
b.
São exemplos do tipo IaaS de serviços: redes sociais, gestão de relacionamento
com clientes, gestão de documentos.
c.
São exemplos do tipo SaaS de serviços: armazenamento de dados, recuperação
de desastres, computação virtual.
d.
São exemplos do tipo SaaS de serviços: bancos de dados, ambientes de
desenvolvimento e teste de aplicações, inteligência de negócios.
e.
São exemplos do tipo IaaS de serviços: bancos de dados, ambientes de
desenvolvimento e teste de aplicações, inteligência de negócios.
Feedback A resposta correta é a alternativa “a”. São exemplos do tipo PaaS de serviços:
da bancos de dados, ambientes de desenvolvimento e teste de aplicações,
resposta: inteligência de negócios. No tipo SaaS (Software as a Service) de software
como serviço, o contratante utiliza uma aplicação disponibilizada pelo
provedor que é executada na nuvem; no tipo PaaS (Plataform as a Service) de
plataforma como serviço, o contratante fornece a aplicação que é executada
na plataforma do provedor, composta por linguagem de programação,
bibliotecas, serviços e ferramentas de software; no tipo Iaas (Infrastructure as a
Service) de infraestrutura como serviço, o contratante executa qualquer
software escolhido em qualquer sistema operacional da infraestrutura virtual
do provedor (processador, memória e rede de comunicação), mas tem
comumente por objetivo comprar capacidade computacional (processamento
e memória), bem como capacidade de storages e de conexão com a internet.
As demais opções estão incorretas, respectivamente, porque: (b) são
exemplos do tipo IaaS de serviços: armazenamento de dados, recuperação
de desastres, computação virtual; (c) são exemplos do tipo SaaS de serviços:
redes sociais, gestão de relacionamento com clientes, gestão de documentos;
(d) vide opção “c”; (e) vide opção “b”.

 Pergunta 9
1 em 1 pontos
 Além de recursos tecnológicos de proteção das redes locais sem fio, parte do sucesso da
gestão de segurança é obtida com a definição de processos e procedimentos alinhados
com boas práticas mundialmente reconhecidas.

Qual das opções a seguir apresenta um motivo válido para guardar os registros de
operações de Access Points?

Resposta e.
Selecionada: Os registros são fontes de pesquisa para avaliação e mitigação de riscos e para
identificação de ataques de segurança já ocorridos.
Respostas: a.
São evidências de auditoria comprovando que o Access Point estava operando
corretamente em um determinado período.
b.
Permitem a verificação da autenticidade de credenciais de usuários da rede
sem fio.
c.
Possibilitam o controle da velocidade de comunicação da rede local que
interliga Access Points à rede cabeada.
d.
Facilitam a identificação de falhas de atualização de segurança de software dos
Access Points.

e.
Os registros são fontes de pesquisa para avaliação e mitigação de riscos e para
identificação de ataques de segurança já ocorridos.
Feedback A resposta correta é a alternativa “e”. Os registros são fontes de pesquisa
da para avaliação e mitigação de riscos e para a identificação de ataques de
resposta: segurança já ocorridos. Dentro do princípio geral de abordagem proativa de
segurança da informação, a garantia da segurança demanda uma contínua
análise de vulnerabilidades e a avaliação de riscos potenciais associados, em
que registros de operação, controle de acesso e de incidentes ocorridos são
fontes de pesquisa para melhoria contínua no nível de segurança.

As demais opções são incorretas, respectivamente, porque: (a) só servem de

comprovação de que estava operando, e não operando corretamente; (b)
atacantes podem roubar as credenciais de usuários autênticos e usá-las para
ataques de segurança; (c) tais registros não possibilitam o controle da
velocidade da conexão com a rede local; (d) falhas de atualização de
segurança de softwares não podem ser identificadas por meio desses
registros.

 Pergunta 10
1 em 1 pontos

O ponto de partida para a garantia da segurança da informação é a análise de riscos de

falha de segurança e dos respectivos impactos nos negócios relacionados aos diversos
elementos que compõem o ambiente de nuvem. Podemos identificar seis tipos gerais de
riscos que se aplicam à computação em nuvem: físicos, aplicações, dados, redes,
operação, gestão.

Qual das opções a seguir NÃO descreve um risco de segurança da informação diretamente
relacionado a redes de comunicação de dados na nuvem?
 Resposta d.
Selecionada: Falha na atualização de segurança de aplicações.
Respostas: a.
Falha na segregação de fluxos de informação.
b.
Falha na configuração de firewalls, IDS/IPSs e VLANs virtuais.
c.
Falha na configuração de recursos de criptografia de VPNs.

d.
Falha na atualização de segurança de aplicações.
e.
Falha na reação a eventos de segurança de redes, como ataques
cibernéticos.
Feedback A resposta correta é a alternativa “d”. Falha na atualização de segurança de
da resposta: aplicações. A atualização de segurança de aplicações é um risco de
administração de aplicações, e não um risco de redes de comunicação de
dados. As redes de comunicação de dados em ambientes de nuvem estão
sujeitas aos mesmos tipos de ataque das redes em infraestruturas de TI
convencionais, com o agravante da perda de visibilidade dos controles de
segurança no ambiente administrado por provedores de serviços terceirizados
e da perda de controle de fluxos em redes virtualizadas.

As demais opções descrevem riscos que são diretamente relacionados à

segurança de redes.

Pergunta 11

As redes Wi-Fi estão sujeitas a ataques semelhantes ao das redes cabeadas, com o agravante
da facilidade com que pacotes maliciosos são enviados para todos os participantes por meio
de sinais de rádio, a partir de uma antena suficientemente próxima do local de cobertura da
rede.

Qual das seguintes opções descreve um ataque de sequestro de sessão (session hijacking) de
uma rede Wi-Fi?
Resposta d.
Selecionada: Um atacante consegue tomar de outro nó da rede, em tempo real, o controle de
uma sessão de comunicação legitimamente autorizada.
Respostas: a.
Consiste na gravação de uma sequência de pacotes reenviados posteriormente
quando a estação legítima não estiver operando na rede.
b.
Um atacante envia um sinal com ruído aleatório na mesma frequência de operação
da rede a todos os nós participantes.
c.
Um atacante obtém a identidade de um profissional em férias a partir da
construção de situações imaginárias que iludem os envolvidos.
d.
Um atacante consegue tomar de outro nó da rede, em tempo real, o controle de
uma sessão de comunicação legitimamente autorizada.
e.
 Consiste em inserir um nó intermediário invisível entre dois elementos da rede,
aguardando para assumir a posição de um deles.
Feedback A resposta correta é a alternativa “d”. Um atacante consegue tomar de outro nó
da resposta: da rede, em tempo real, o controle de uma sessão de comunicação legitimamente
autorizada. Quando uma estação se conecta ao Access Point, é estabelecida
uma sessão de comunicação em que ambas as partes se reconhecem como nós
legítimos da comunicação.

As demais opções referem-se respectivamente a ataques de: (a) replicação; (b)

negação de serviço; (c) engenharia social; (e) homem-no-meio.

Pergunta 12

As redes locais sem fio apresentam diversas características positivas que fizeram com que
fossem rapidamente adotadas no mercado. Comparando as tecnologias bluetooth e Wi-Fi,
observamos que a primeira tem uma área de cobertura muito menor que a segunda, mas
mesmo assim ainda está presente na grande maioria de dispositivos móveis e computadores
portáteis.

Qual das opções a seguir apresenta uma justificativa para a popularidade de redes bluetooth
mesmo com uma área de cobertura tão pequena?

Resposta b.
Selecionada: Consomem menos energia, o que é muito importante para dispositivos móveis
leves com baixa autonomia de operação de suas baterias.
Respostas: a.
Utilizam uma frequência menor do que o Wi-Fi e, portanto, não interferem em
redes de outras tecnologias.
b.
Consomem menos energia, o que é muito importante para dispositivos móveis
leves com baixa autonomia de operação de suas baterias.
c.
Oferecem uma interface de configuração mais completa para o usuário final.
d.
Bluetooth tem um protocolo aberto, enquanto que o Wi-Fi é proprietário.
e.
Há mais empresas de grande porte apoiando a tecnologia bluetooth do que as que
apoiam a tecnologia Wi-Fi.
Feedback A resposta correta é a alternativa “b”. Consomem menos energia, o que é muito
da resposta: importante para dispositivos móveis leves com baixa autonomia de operação de
suas baterias. Com menos consumo de energia, a tecnologia bluetooth aumenta a
autonomia de dispositivos móveis. A baixa energia do sinal de rádio transmitido é
particularmente interessante para dispositivos móveis, que em geral apresentam
grandes limitações quanto à autonomia de suas baterias, e são perfeitos para
aplicações de IoT (Internet of Things, em inglês), com dispositivos de 10 cm² de
área, por exemplo. Do ponto de vista de segurança, essa limitação também é
positiva, porque restringe a área de ataque, exigindo que um dispositivo malicioso
esteja no mesmo ambiente e muito próximo do dispositivo-alvo para tentar um
ataque efetivo.
As outras opções são incorretas, respectivamente, porque: (a) a frequência das
redes bluetooth e Wi-Fi é a mesma; (c) bluetooth dispensa o uso de interface na
aplicação de pequenos dispositivos móveis, como de IoT; (d) os dois protocolos
 são abertos; (e) os dois protocolos recebem o apoio de grandes fornecedores
mundiais.

Pergunta 13:

Em poucos anos, os smartphones atingiram uma capacidade de processamento,

armazenamento de dados e comunicação equivalente à de computadores portáteis,
apresentando os mesmos riscos de falha de segurança e tornando-se alvo de ataques cada
vez mais sofisticados.

Qual das opções a seguir NÃO contém a descrição de uma boa prática de segurança de
smartphones?

Resposta b.
Selecionada: Manter sempre ativados os recursos de redes Bluetooth e Wi-Fi para facilitar a
atuação de softwares, mesmo quando não utilizados.
Respostas: a.
Instalar antivírus para proteção contra softwares maliciosos.
b.
Manter sempre ativados os recursos de redes Bluetooth e Wi-Fi para facilitar a
atuação de softwares, mesmo quando não utilizados.
c.
Só instalar aplicativos autorizados de fontes confiáveis.
d.
Conectar-se apenas a redes Wi-Fi conhecidos, configuradas com segurança WAP2
com AES.
e.
Fazer o pareamento apenas com dispositivos bluetooth conhecidos, não aceitando
conexões inicialmente não solicitadas de outros dispositivos.
Feedback A resposta correta é a alternativa “b”. Manter sempre ativados os recursos de
da resposta: redes bluetooth e Wi-Fi para facilitar a atuação de softwares, mesmo quando não
utilizados.

Smartphones são tão poderosos como os computadores e oferecem os mesmos

riscos de falha de segurança; todos os recursos de interfaces de comunicação e
softwares que não estejam sendo utilizados, devem ser desativados, para não
servirem de porta de entrada para ataques conhecidos. A instalação de antivírus
e de softwares previamente validados, bem como a utilização de senhas fortes e
de conexão apenas com redes e dispositivos conhecidos são todas boas práticas
para redução dos riscos de invasão de smartphones.

Pergunta 14:

À medida que a tecnologia de computação em nuvem foi amadurecendo, grandes corporações

passaram a ter a opção de implementar suas próprias nuvens, parcial ou totalmente, dando
origem a três tipos de modelo de implementação de infraestrutura: nuvem privada, nuvem
pública e nuvem híbrida.

Qual das opções a seguir identifica o modelo de nuvem que oferece comparativamente
menores riscos potenciais à segurança da empresa contratante, justificando esta afirmação?
Resposta a.
Selecionada: Nuvem privada, porque tem maior controle da operação e porque não compartilha
o ambiente de nuvem com outras empresas.
Respostas: a.
Nuvem privada, porque tem maior controle da operação e porque não compartilha
o ambiente de nuvem com outras empresas.
b.
Nuvem híbrida, porque potenciais falhas de segurança da nuvem privada podem ser
apontadas por outros clientes do prestador da nuvem pública.
c.
Nuvem pública, porque o prestador de serviços não tem seu ambiente de controle
limitado por falhas em políticas de segurança dos clientes.
d.
Nuvem privada, porque está protegida contra ataques cibernéticos lançados da
internet contra ativos da infraestrutura convencional de TI.
e.
Nuvem pública, porque está sujeita à regulamentação federal definida pela
legislação de cada país.
Feedback A resposta correta é a alternativa “a”. Nuvem privada, porque tem maior controle
da resposta: da operação e porque não compartilha o ambiente de nuvem com outras
empresas. Há três tipos de modelo de implementação de infraestrutura de
computação em nuvem: nuvem privada, no qual a infraestrutura da nuvem é
implementada por uma organização, composta por diversas unidades de negócio,
sendo mais segura porque tem maior visibilidade do controle da operação e por
não compartilhar o ambiente de nuvem com outras empresas; nuvem pública, no
qual a infraestrutura é disponibilizada por um provedor de serviços de nuvem para
o público em geral; e nuvem híbrida, no qual a infraestrutura é formada por uma
combinação de nuvens privadas e públicas, visando ao melhor atendimento das
necessidades das empresas contratantes.

As demais opções são incorretas, respectivamente, porque: (b) o

compartilhamento do ambiente de nuvem híbrida com outros clientes do prestador
de serviços eleva potencialmente os riscos de segurança; (c) nuvem pública
oferece maiores riscos à empresa contratante porque apresenta menor
transparência quanto aos controles implementados e maiores riscos potenciais de
segurança com o compartilhamento do ambiente de nuvem com outros clientes,
não importando se há falhas ou não nas políticas de segurança dos clientes; (d)
nenhum modelo de implementação de nuvem está protegido contra ataques
cibernéticos lançados da internet; (e) todos os modelos de implementação são
obrigados a atender à legislação de cada país, mas isso não limita os riscos a que
estejam expostos.

Pergunta 15

A rápida adoção da computação em nuvem é resultado das características operacionais que

as empresas esperam alcançar com a contratação dos serviços, como alta disponibilidade,
capacidade computacional ilimitada, custos de operação reduzidos, grande flexibilidade e foco
em aplicações de negócio. Contudo, em uma implantação real, há dificuldades que podem
limitar os resultados finais esperados.
Qual das opções a seguir NÃO descreve corretamente o fator limitante do resultado final
esperado com a contratação de serviços de nuvem?

Resposta d.
Selecionada: Grande flexibilidade de contratação é limitada por aspectos comerciais do contrato
de prestação de serviços de nuvem firmado com provedores.
Respostas: a.
Alta disponibilidade é limitada por falhas na infraestrutura local da empresa usada
para acesso dos serviços externos de nuvem.
b.
Capacidade ilimitada de recursos é limitada pela interdependência operacional
entre elementos da arquitetura da solução de nuvem.
c.
Custo de operação reduzido é limitado pelos custos de migração de aplicações e
custos de serviços adicionais de provedores.
d.
Grande flexibilidade de contratação é limitada por aspectos comerciais do contrato
de prestação de serviços de nuvem firmado com provedores.
e.
Foco em aplicações de negócio é limitado pela manutenção de infraestrutura
convencional de TI que não pode ser migrada para a nuvem.
Feedback A resposta correta é a alternativa “d”. Grande flexibilidade de contratação é
da resposta: limitada por aspectos comerciais do contrato de prestação de serviços de nuvem
firmado com provedores. A grande flexibilidade de contratação de serviços não é
limitada pelos contratos-padrão hoje oferecidos no mercado, que possuem
cláusulas específicas definindo a tarifação apenas dos serviços efetivamente
consumidos, complementadas por SLAs descrevendo detalhadamente a maneira
como os serviços serão contabilizados. O acesso aos serviços da nuvem é feito
pela infraestrutura de TI convencional da empresa e pode limitar a alta
capacidade da nuvem em caso de falha operacional local. Além disso, o ambiente
de nuvem é composto por elementos discretos que se inter-relacionam para
oferecer os serviços contratados, influenciando uns aos outros e limitando os
resultados finais entregues aos clientes; a migração de serviços de nuvem
demanda um esforço de adaptação que pode elevar os custos operacionais dos
serviços prestados; serviços complementares contratados dos prestadores podem
elevar os custos operacionais dos serviços de nuvem; e nem todos os serviços e
a infraestrutura de TI podem ser migrados para a nuvem, mas precisam operar de
maneira integrada com ela, levantando questões tecnológicas e operacionais de
equipamentos legados e dificultando manter o foco apenas nas aplicações de
negócio.

As demais opções estão corretas.

Pergunta 16

Normas e códigos de boas práticas de segurança da informação mundialmente

reconhecidos e adotados servem como ferramentas para a avaliação do nível de
maturidade dos controles de segurança no ambiente de nuvem.

Qual das opções a seguir não descreve uma vantagem do alinhamento da operação do
ambiente de nuvem com normas e códigos de boas práticas de segurança da informação?
 Resposta c.
Selecionada: Reduz os custos operacionais em curto prazo, em virtude da redução de
esforço de conformação frente às auditorias de segurança.
Respostas: a.
Revela uma atitude de responsabilidade quanto à garantia da segurança para
clientes, fornecedores e órgãos de controle da aplicação da legislação.
b.
Estabelece uma abordagem preventiva com foco na mitigação de riscos de
segurança da operação em nuvem.

c.
Reduz os custos operacionais em curto prazo, em virtude da redução de
esforço de conformação frente às auditorias de segurança.
d.
Reduz os custos operacionais em longo prazo, em virtude da redução do
retrabalho e da identificação de gargalos e pontos de falha.
e.
Simplifica a verificação da eficácia e da eficiência dos controles de segurança da
informação no ambiente de nuvem.
Feedback A resposta correta é a alternativa “c”. Reduz os custos operacionais em curto
da prazo, em virtude da redução de esforço de conformação frente às auditorias
resposta: de segurança. O esforço de conformação não reduz, e sim aumenta os
custos operacionais em curto prazo. Podemos destacar 5 normas de
segurança que já são aplicadas com sucesso na proteção de ambientes de
nuvem (ISO 27001, ISO 27002, ISO 27017, ISO 27018, PCI DSS): elas
estabelecem um conjunto mínimo de requisitos para implementação de um
sistema de gestão de segurança da informação, oferecem orientações
práticas de gestão de segurança quanto à seleção, implementação e
administração de controles, com base nos respectivos riscos associados;
descrevem controles de segurança da informação aplicáveis no
provisionamento e na utilização de serviços de nuvem; e definem requisitos
de proteção de informações pessoais, visando garantir sua privacidade
quando são armazenadas ou processadas na nuvem.

As demais opções estão corretas.

Pergunta 17

As redes locais sem fio estão sujeitas aos mesmos tipos de ataques realizados contra redes
cabeadas, com o agravante da facilidade de realizar um ataque passivo usando uma antena
de rádio e um equipamento de decodificação dos pacotes trafegados na rede.

Qual das opções a seguir descreve um fator que potencializa o impacto de ataques passivos
em redes locais sem fio?

Resposta e.
Selecionada: O atacante tem o tempo a seu favor para coletar e analisar todo tipo de
informação sem ser detectado.
Respostas: a.
 O atacante pode injetar pacotes na rede fazendo-se passar por um nó legítimo.
b.
Um dispositivo de rede bluetooth pode facilmente capturar os pacotes trafegados
na rede Wi-Fi e vice-versa.
c.
O conteúdo dos pacotes trafegados pode ser facilmente extraído quando a rede
utiliza criptografia forte.
d.
Os pacotes enviados entre dois nós da rede podem ser alterados em tempo real
pelo atacante e reenviados aos respectivos destinatários.

e.
O atacante tem o tempo a seu favor para coletar e analisar todo tipo de
informação sem ser detectado.
Feedback A resposta correta é a alternativa “e”. O atacante tem o tempo a seu favor para
da resposta: coletar e analisar todo tipo de informação sem ser detectado. Em ataques
passivos, o atacante pode coletar informações por dias, ou meses se quiser,
porque ninguém consegue perceber que está sendo alvo de uma escuta.

As outras opções estão erradas porque, respectivamente: (a) em um ataque

passivo, o atacante não interfere na rede; (b) equipamentos de redes bluetooth e
Wi-Fi não conversam entre si; (c) conteúdos criptografados demandam grande
esforço para serem decodificados; (d) em um ataque passivo, o atacante não
interfere na rede.

Pergunta 18

Com a multiplicação da oferta de serviços de computação em nuvem, mais e mais empresas

estão estudando a movimentação dos serviços de TI convencionais para o ambiente de
nuvem. Mas a migração para a nuvem envolve diversas questões tecnológicas, operacionais e
de negócios que precisam ser convenientemente endereçadas.

Qual das opções a seguir descreve uma situação indicadora da necessidade de adiar a
migração efetiva para o futuro?

Resposta e.
Selecionada: A empresa passa por um momento crítico externo, com a entrada de um novo
concorrente de classe mundial no mercado.
Respostas: a.
A empresa enfrenta grandes variações sazonais de demanda do mercado.
b.
A empresa está desenvolvendo novos projetos de TI visando a uma nova área de
negócios para ser lançada em poucos meses no mercado.
c.
A empresa desenvolve campanhas promocionais de eMarketing em datas
especiais do ano.
d.
 A empresa oferece um serviço acessado globalmente por clientes nos cinco
continentes.

e.
A empresa passa por um momento crítico externo, com a entrada de um novo
concorrente de classe mundial no mercado.
Feedback A resposta correta é a alternativa “e”. A empresa passa por um momento crítico
da resposta: externo, com a entrada de um novo concorrente de classe mundial no mercado.
Ao passar por um momento de instabilidade nos negócios, a empresa deve
atrasar a migração dos serviços da sua infraestrutura convencional de TI para a
nuvem pelo menos até alcançar um momento de estabilidade, para que possa,
então, dar o suporte necessário às mudanças na organização e na operação dos
negócios, que serão demandas pelo ambiente de nuvem.

A utilização de serviços de nuvem demanda uma mudança organizacional e

funcional na empresa, não apenas tecnológica. O esforço de migração para a
nuvem implica planejamento detalhado e acompanhamento rigoroso, além da
adesão incondicional de todos os responsáveis por áreas críticas do negócio.
Mesmo em situações básicas, como de migração de uma simples aplicação para
a nuvem mantendo a mesma interface com o usuário final, decisões precisam
ser tomadas, recursos devem ser alocados, pessoal deve ser treinado, serviços
de provedores de nuvem serão contratados, o desempenho da plaicação
precisará ser aprovado pelos usuários finais e validados pela auditoria frente às
políticas de segurança e privacidade existentes, etc.

As demais opções descrevem situações que favorecem a migração para a

nuvem.

Pergunta 19

As redes locais sem fio costumam ser o alvo inicial para a invasão de equipamentos da rede
cabeada, como servidores e storages, por causa das vulnerabilidades intrínsecas que podem
ser exploradas a partir de falhas de configuração dos equipamentos.

Qual das opções a seguir descreve uma solução de segurança para impedir ataques a
equipamentos das redes cabeadas partindo da invasão de redes sem fio?

Resposta b.
Selecionada: Análise do tráfego entre os Access Points e a rede cabeada utilizando sistemas de
detecção e prevenção de intrusos (IDS/IPS).
Respostas: a.
Conexão de Access Points à rede cabeada utilizando switches com VLANs.

b.
Análise do tráfego entre os Access Points e a rede cabeada utilizando sistemas de
detecção e prevenção de intrusos (IDS/IPS).
c.
Configuração do protocolo de segurança WAP2 com criptografia forte.
d.
Implementação de servidores de autenticação e autorização de usuários da rede
sem fio.
e.
 Atualização de software de Access Points sempre que novos pacthes de
segurança sejam liberados pelos fabricantes.
Feedback A resposta correta é a alternativa “b”. Análise do tráfego entre os Access Points
da resposta: e a rede cabeada utilizando sistemas de detecção e prevenção de intrusos
(IDS/IPS). Estas são soluções de segurança que analisam tanto o
endereçamento de pacotes quanto seus conteúdos, buscando identificar
comportamentos maliciosos e ataques em andamento.

As demais opções não descrevem soluções de segurança com esse objetivo,

pelos seguintes motivos, respectivamente: (a) VLANs não impedem o acesso a
nós da rede cabeada; (c) mesmo com criptografia forte, os Access Points podem
conter falhas de segurança exploradas em ataques; (d) roubos de identidade
podem permitir que mesmo usuários considerados como legítimos tenham
acesso para fazer um ataque a nós da rede cabeada; (e) mesmo Access Points
com softwares atualizados podem conter falhas de segurança exploradas em
ataques a redes cabeadas.

Pergunta 20

Apesar de sua popularidade, a operação de redes Wi-Fi demandou a solução de diversos

problemas tecnológicos importantes para garantir a eficiência e a segurança na
comunicação.

Qual das opções a seguir NÃO contém a descrição de um problema de redes Wi-Fi?

Resposta e.
Selecionada: Eliminação de cabos para dispositivos móveis.
Respostas: a.
Facilidade de interceptação da comunicação usando uma antena de rádio.
b.
Qualidade variável do sinal de comunicação ao longo do tempo e em
diferentes posições.
c.
Espectro de radiofrequência compartilhado com outros dispositivos.
d.
Problema do “nó oculto” (hidden node), em que dois equipamentos
conseguem se comunicar com um terceiro, mas não entre si.

e.
Eliminação de cabos para dispositivos móveis.
Feedback da A resposta correta é a alternativa “e”. Eliminação de cabos para dispositivos
resposta: móveis. Redes sem fio permitem a conexão de dispositivos pequenos e
leves, como smartphones, sem a necessidade de conectores volumosos ou
cabos que restringem a manipulação dos dispositivos.

As demais opções contêm a descrição de problemas reais de redes Wi-Fi.