SIMULADO 1

MCSO

1. Quais os princípios básicos da segurança da informação segundo a ISO/IEC 17799:2005 (ISO

27002)?

a) Confidencialidade, Integridade, Rastreabilidade.

b) Confidencialidade, Autenticidade, Integridade.
c) Legalidade, Integridade, Disponibilidade.
d) Confidencialidade, Integridade e Disponibilidade.

2. Atribua categorias às vulnerabilidades e marque a alternativa correta.

1 – Físicas ( ) Falta de atualização de firmware

2 – Naturais ( ) Falta de aplicação de patches conforme recomendação dos fabricantes
3 – Hardware ( ) Terremotos e inundações
4 – Software ( ) Usuários desrespeitando normas de segurança
5 – Humana ( ) Extintor de incêndio com prazo de validade vencido

a) 3, 1, 2, 4, 5
b) 3, 4, 2, 5, 1
c) 4, 3, 2, 1, 5
d) 3, 5, 2, 1, 4

3. Há diferentes abordagens de categorização para a tarefa de definição de escopo de um projeto

de análise de riscos. A respeito destas podemos afirmar que:

a) A categorização por processos de negócio garante que o levantamento de ativos seja

realizado de forma bastante rápida.
b) A categorização por localidade física garante grande aproximação com a área de negócio pelo
fato de ser realizada localmente.
c) A categorização mista normalmente envolve fortes aspectos culturais.
d) Nenhuma das alternativas anteriores.

4. Quando a aceitação de riscos deve ser realizada?

a) Não deve ser realizada.

b) Quando não conseguimos encontrar uma boa relação custo/benefício
c) Quando os riscos envolverem itens muito complexos.
d) Quando houver a possibilidade de ser realizado um auto-seguro.

Módulo Security Solutions 06/07/2010 1

 SIMULADO 1
MCSO
5. Após decidir que os papéis confidenciais de sua empresa seriam descartados em uma lixeira
especial para coleta seletiva e fragmentação antes da venda para uma empresa de reciclagem, a
área de segurança física adquiriu containers plásticos que não empenam e por isso não
permitem acesso fácil aos documentos. Contudo os containers são facilmente desmontáveis com
uma chave de fenda e não deixam rastros de violação. Como a compra dos containers ocorreu
de maneira desestruturada e, por isso, sem sua participação, o ideal seria trocá-los por
containers que oferecessem mais segurança, mas essa possibilidade já foi descartada por
motivos políticos e financeiros. Qual seria a sua melhor opção para o tratamento dos riscos
residuais dessa situação?

a) A implementação de lacres contra a violação seria uma solução extremamente barata que
apesar de não impedir o acesso aos documentos, pois os containers continuam sendo
desmontáveis, deixam rastro de que o container foi desmontado. Com isso você passa a ter
casos reais de incidentes que reforçarão a necessidade de trocar os containers ou chega à
conclusão que os lacres já estão adequados à realidade da empresa.
b) Como a sua análise de riscos já demonstrou que as fragmentadoras não fragmentam os
papéis em um nível considerado adequado, suas informações já estão expostas quando são
vendidas. Já que a informação está exposta fora da empresa não há justificativa para
investimos internamente.
c) Apesar dos custos de implementação de CFTV para monitorar os containers serem
extremamente elevados a área de segurança da informação possui orçamento para cobrir as
despesas e deve implementar câmeras para registrar incidentes.
d) Nenhuma das alternativas anteriores, pois o assunto deve esperar mais um ano para ser
resolvido.

6. Marque a alternativa correta para a definição de “medidas de segurança”.

a) São ações voltadas à eliminação de vulnerabilidades com vistas a evitar a concretização de

uma ameaça.
b) São ações voltadas à eliminação de ameaças com vistas a evitar a concretização de uma
vulnerabilidade.
c) São ações voltadas à eliminação de riscos com vistas a evitar a concretização de uma
vulnerabilidade.
d) São ações voltadas à eliminação de impactos com vistas a evitar a concretização de um risco.

7. Relacione a primeira coluna com a segunda:

A. Área de armazenamento sem proteção 1. ativo

B. Estações de trabalho 2. vulnerabilidade
C. Falha de segurança em um software 3. ameaça
D. Perda de vantagem competitiva 4. impacto
E. Roubo de informações 5. medida de segurança
F. Perda de negócios
G. Não é executado o “logout” ao término do uso dos sistemas
H. Perda de mercado
I. Implementar travamento automático da estação após período
de tempo sem uso
J. Servidores
K. Vazamento de informação

a) A2, B1, C2, D4, E4, F4, G2, H4, I5, J1, K3.
b) A2, B1, C2, D3, E3, F4, G2, H4, I5, J1, K4.
c) A2, B1, C3, D3, E4, F4, G2, H4, I5, J1, K3.
d) A2, B1, C2, D4, E3, F4, G2, H4, I5, J1, K3.

Módulo Security Solutions 06/07/2010 2

 SIMULADO 1
MCSO

8. Qual a principal diferença entre a análise de risco e a gestão de riscos?

a) Na análise é estabelecida uma política de riscos e na gestão são estabelecidos critérios de

aceitação do risco.
b) Ambos os termos têm o mesmo significado.
c) A gestão inclui, além da análise, atividades de tratamento e comunicação dos riscos.
d) A análise de riscos é mais abrangente que a gestão de riscos.

9. Qual das seguintes abordagens de tratamento de risco envolve obrigatoriamente a participação

de terceiros?

a) Aceitar o risco.
b) Eliminar o risco.
c) Reduzir o risco.
d) Transferir o risco.

10. A política de segurança da informação deve ser elaborada de que maneira?

a) Depois de copiado um modelo da Internet devem ser negociadas as possibilidades de

implementação sob o ponto de vista tecnológico. Os itens que não forem factíveis devem ser
excluídos do documento.
b) Deve ser realizada uma análise e avaliação de riscos e um plano de ação para estabelecer o
nível de segurança adequado ao ambiente. Concluída a implementação e estabelecido o
padrão deve ser realizado a documentação do padrão que será conhecida como política para
aquele objeto específico.
c) Utilizando melhores práticas que devem ser implementadas por serem consideradas soluções
apropriadas de segurança da infomação.
d) Utilizando exclusivamente a ISO27005 como padrão pois a documentação trata justamente da
divisão da política em níveis estratégico, tático e operacional como sendo diretrizes, normas,
procedimentos e instruções.

11. Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de
segurança da informação?

a) Auditoria.
b) Segregação de funções.
c) Suporte técnico.
d) Conscientização dos usuários.

12. O ideal para garantir a conformidade de aplicação da política de segurança sob o ponto cultural
é:

a) Punir os desvios exemplarmente sempre que ocorrerem.

b) Premiar as áreas que estiverem com maior conformidade.
c) Possui normatização que defina as punições em caso de falta de conformidade.
d) Nenhuma das alternativas anteriores.

Módulo Security Solutions 06/07/2010 3

 SIMULADO 1
MCSO
13. A respeito do processo de gestão de ativos previsto na ISO27002 é correto afirmar que todos os
ativos devem ser:

a) Identificados, inventariados e ter um responsável.

b) Analisados, avaliados e protegidos.
c) Analisados, padronizados e documentados.
d) Analisados, priorizados e documentados.

14. Em um servidor compartilhado há informações consideradas confidenciais e públicas. Esse

servidor desse ser considerado:

a) De uso interno. A média aritmética dos índices indica que esse servidor tem importância
média e por isso não pode ter a mesma classificação de um servidor que possui
exclusivamente informações confidenciais.
b) Confidencial. A existência da informação confidencial justifica essa decisão.
c) De uso interno-especial – apesar de não haver esse critério previsto na norma de
classificação da informação a área de segurança deve ter um método de tratar exceções à
regra.
d) Nenhuma das anteriores.

15. A liberação para acesso a informações classificadas deve ser feita baseada em que princípio
básico de segurança?

a) Confiança.
b) Segregação de funções.
c) Privilégio mínimo.
d) Rotação de tarefas.

16. Quem costuma desempenhar o papel de proprietário de informações (information owner) dentro
de uma organização?

a) Os técnicos do departamento de informática.

b) O Security Officer.
c) Os gerentes de departamento.
d) O presidente da empresa.

17. Em planos de continuidade de negócios todos os itens abaixo devem fazer parte da cobertura do
plano, exceto:

a) Garantir a integridade física dos funcionários.

b) Garantir o estabelecimento de procedimentos de emergência.
c) Garantir a continuidade dos processos críticos.
d) Garantir que o plano contenha, no mínimo, um hotsite.

18. Quais áreas de uma organização devem ser atendidas por planos de continuidade de negócios?

a) Todas as áreas que necessitem.

b) Área financeira e de tecnologia da informação.
c) Áreas operacionais.
d) Áreas de marketing, finanças e de tecnologia da informação.

Módulo Security Solutions 06/07/2010 4

 SIMULADO 1
MCSO
19. Que cuidado deve ser tomado no armazenamento de fitas de backup fora da organização?

a) O local de armazenamento deve estar protegido contra acessos não autorizados.

b) O local de armazenamento deve estar a, no mínimo, 25 quilômetros da organização.
c) O local de armazenamento deve ser de fácil acesso durante o expediente.
d) O local de armazenamento deve estar protegido por guardas armados.

20. Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de
Recuperação de Desastres (PRD)?

a) O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o

PRD cobre somente os ativos de informação.
b) O PRD é mais abrangente que o PCN.
c) O PRD é responsável pela continuidade dos processos de Tecnologia da Informação
enquanto que o PCN foca-se na continuidade para todos os processos.
d) O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à
reparação dos danos causados.

21. Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre?

a) Um evento súbito, que ocorre de maneira inesperada.

b) Uma catástrofe de grandes impactos.
c) Um evento que causa uma parada nos processos da organização por um período de tempo
maior do que ela considera aceitável.
d) Eventos de ordem natural ou acidental, como terremotos e incêndios.

22. O mecanismo de extinção de incêndios conhecido por "dry pipe" é:

a) Um sistema de sprinklers onde a água não entra nos canos até que um sensor automático
indique que existe fogo na área.
b) Um sistema de sprinklers que utiliza pó seco em vez de água.
c) Um sistema de dióxido de carbono usado para extinguir o fogo.
d) Um tipo de gás especial usado exclusivamente para incêndios em datacenters.

23. Os itens abaixo podem ser considerados medidas preventivas, exceto:

a) Extintor de incêndio.
b) Treinamento.
c) Controle de acesso físico.
d) Circuito fechado de TV.

24. Qual dos controles abaixo é um controle físico para segurança física?

a) Treinamento dos colaboradores.

b) Iluminação.
c) Material das instalações.
d) Procedimentos de resposta a incidentes de segurança física

Módulo Security Solutions 06/07/2010 5

 SIMULADO 1
MCSO
25. Com relação ao processo de comunicação é correto afirmar:

I. A percepção que cada indivíduo tem do mundo ou de uma situação em particular pode interferir
no processo de comunicação.
II. A decodificação da mensagem depende da interpretação dada aos códigos usados pelo
emissor.
III. Códigos que expressam sensações e sentimentos caracterizam a comunicação oral e devem
ser considerados.
IV. Auto-suficiência, confusão de referências e desconforto são considerados ruídos da
comunicação apenas com relação ao receptor da mensagem.
V. O estado de espírito entre os interlocutores não interfere no processo de comunicação.
VI. A linguagem simbólica não deve ser considerada para a segurança das informações.

a) As alternativas I, II e VI estão corretas.

b) As alternativas III, IV e V estão corretas.
c) As alternativas I, IV e V estão corretas.
d) As alternativas I, II e III estão corretas.

26. Ao elaborar e comunicar uma Política de Segurança da Informação é necessário:

I. Usar uma linguagem conhecida.

II. Usar meios adequados aos tipos de mensagens e usuários.
III. Adotar estilo simples e claro.
IV. Respeitar o interlocutor sem superestimá-lo nem subestimá-lo.
V. Respeitar a cultura organizacional e a do país a que se destina.

a) As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário que ela
seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam.
b) As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única,
mesmo para uma multinacional, e as características humanas e legais do país na qual é
aplicada não podem interferir na sua tradução.
c) As alternativas I, II, IV e V estão corretas, mas a III está errada porque uma política deve ser
construída considerando-se uma linguagem tecnológica independentemente dos tipos de
usuários a que se destina.
d) As alternativas I, II, III e V estão corretas, mas a IV está errada porque deve supor-se que
todos os usuários foram selecionados pela empresa, portanto entendem a tecnologia usada.

27. Com relação aos crimes de informática:

a) Só há punição criminal possível quando a lei prevê expressamente crimes cometidos

mediante uso de computadores.
b) A maioria dos crimes de informática já é punida pelo Código Penal e apenas uns poucos
dependem de lei especial.
c) Se uma conduta enseja o direito à indenização, automaticamente enseja também uma
sanção criminal.
d) Não existem crimes de informática, da mesma forma como não existem crimes de máquinas
de escrever ou de televisores.

Módulo Security Solutions 06/07/2010 6

 SIMULADO 1
MCSO
28. Qual o procedimento ideal e correto para preservação de uma prova eletrônica, nos casos
abaixo:

a) Página na Internet – print screen.

b) Página na Internet – impressão.
c) E-mail – impressão e preservação da mensagem original com a gravação em mídia própria.
d) E-mail – elaboração de ata notorial e preservação da mensagem original com a gravação em
mídia própria.

29. Quando uma empresa que provê acesso à Internet informa os dados do usuário que utilizou
determinado endereço IP, em determinada data e horário, para fins ilícitos, quais as sanções que
o usuário poderia sofrer apenas com esta informação:

a) Sanções na esfera Cível e Criminal, pois com a informação prestada já sabemos quem é o
autor do ato ilícito.
b) Apenas Sanção na esfera Cível, pois apenas sabemos quem é o responsável pelo Contrato
com a empresa que proveu o acesso à Internet e não quem efetivamente cometeu o ato ilícito.
c) Se o fato constitui crime, apenas sanção na esfera criminal.
d) Nenhuma das alternativas apontadas está correta.

30. Qual o maior obstáculo ao aumento dos investimentos em Segurança da Informação dentro das
organizações?

a) A falta de conscientização da alta administração.

b) Os altos preços praticados pelos fabricantes de soluções.
c) A impossibilidade de justificar os benefícios dos investimentos.
d) A falta de argumentos que justifiquem os investimentos.

31. Indicadores são importantes na gestão da segurança da informação para:

a) Reduzir os riscos dos ambientes.

b) Melhorar a obtenção de recursos.
c) Avaliar e comunicar os resultados trazidos.
d) Reduzir os riscos de problemas legais.

32. Sobre a organização da área de segurança da informação é possível afirmar que:

a) Caso a área de segurança da informação esteja subordinada a área de TI o CSO não

conseguirá exercer suas responsabilidades pois está controlando o seu chefe.
b) O comitê de segurança deve possuir apenas caráter informativo pois os executivos não
devem ser envolvidos nas deliberações de segurança da informação.
c) A área de segurança existe para garantir a segurança da empresa e por isso deve realizar a
tarefa sozinha.
d) Nenhuma das alternativas anteriores.

33. O tamanho de uma chave criptográfica esta diretamente relacionada:

a) À qualidade do algoritmo de criptografia.

b) Ao tamanho do hash gerado por esta criptografia.
c) Ao tipo de criptografia a ser utilizada: simétrica ou assimétrica.
d) Ao tempo necessário para se fazer um ataque de força bruta.

Módulo Security Solutions 06/07/2010 7

 SIMULADO 1
MCSO
34. Qual dos itens abaixo não representa uma boa prática de segurança no uso de criptografia?

a) Realizar a troca constante da chave de criptografia utilizada.

b) Fazer backups de chaves privadas usadas para assinatura digital, armazenando-as com
terceiros.
c) Utilizar algoritmos de criptografia públicos já testados em diversos ambientes.
d) Utilizar dispositivos apropriados para a geração e armazenamento de chaves.

35. Qual o maior diferencial dos algoritmos de criptografia assimétrica ECC (Elliptic Curve
Cryptography) em relação a tecnologias similares?

a) O ECC não precisa de chaves privadas para decodificar informações.

b) O ECC é o único sistema assimétrico completo, incluindo confidencialidade, assinatura digital
e integridade.
c) O ECC oferece um nível de segurança similar aos outros algoritmos assimétricos, porém
utilizando chaves menores.
d) O ECC é o único algoritmo suportado por smart cards.

36. Qual algoritmo abaixo não é um Block Cipher?

a) DES.
b) RC4.
c) RC6.
d) Rijndael.

37. Qual algoritmo abaixo é um algoritmo de transposição?

a) Scytale.
b) Enigma.
c) Cifra de Cesar.
d) Vigenéré.

38. A biometria é uma tecnologia que pode ser utilizada tanto no processo de identificação, como no
processo de autenticação.

a) Verdadeiro, pois a tecnologia oferece mecanismos que podem ser usados em ambos os
processos.
b) Falso, a biometria quando usada com outro mecanismo de autenticação torna a tecnologia
vulnerável.
c) Verdadeiro, porém, a biometria deve ser utilizada para os dois processos simultaneamente.
d) Falso, a biometria é incapaz de oferecer informações suficientes para identificação.

39. Das opções abaixo, qual é a forma mais utilizada para armazenar as senhas dos usuários dentro
de um sistema operacional:

a) Codificá-las usando criptografia assimétrica.

b) Codificá-las com uma chave simétrica armazenada dentro do sistema.
c) Usar uma função hash em cada uma das senhas e armazenar os resultados em um arquivo
sem proteção criptográfica.
d) Usar um sistema de dupla criptografia no arquivo de senhas.

Módulo Security Solutions 06/07/2010 8

 SIMULADO 1
MCSO
40. Qual seria a principal vantagem de se utilizar certificados digitais para autenticação em
comparação com o uso de senhas estáticas?

a) Os certificados digitais provêm também a irretratabilidade (não-repúdio).

b) Os certificados digitais só funcionam com tokens de autenticação.
c) Os certificados digitais permitem a autenticação de dois fatores.
d) A autenticação via certificados digitais possui uma integração mais fácil com sistemas antigos.

41. O conceito de single sign-on prevê que:

a) Os usuários se autentiquem em cada sistema utilizando uma base de dados centralizada.

b) Os usuários se autentiquem somente uma vez e possam acessar todos os recursos
disponíveis a eles.
c) Os usuários se autentiquem utilizando certificados digitais.
d) Os usuários possam acessar os sistemas que têm permissão sem um processo formal de
autenticação.

42. Qual modelo de controle de acesso especifica interfaces restritas como proteção

a) Biba.
b) Bell-LaPadula.
c) Clark-Wilson.
d) Terminal Services.

43. Qual a principal diferença entre ataques passivos e ativos?

a) Ataques passivos interagem com a vítima sem realizar alterações; ativos alteram o estado ou
comportamento da vítima sem interagir com ela.
b) Ataques passivos representam testes, o que não causa danos à vítima.
c) Ataques passivos sempre afetam de maneira conjunta os três princípios da segurança:
Confidencialidade, Integridade e Disponibilidade.
d) Ataques ativos comprometem o funcionamento dos sistemas atacados, sendo que os ataques
passivos apenas capturam informações.

44. Qual das opções abaixo é um exemplo de host?

a) Estação de trabalho.
b) Roteador.
c) Switch.
d) Bridge.

45. Modelo TCP/IP, também conhecido como Modelo DoD (Department of Defense), possui quais
camadas de comunicação?

a) Física, Enlace, Rede, Transporte e Aplicação.

b) Física, Enlace, Internet, Transporte e Aplicação.
c) Física, Enlace, Internet, e Aplicação.
d) Acesso a rede, Internet, Transporte e Aplicação.

Módulo Security Solutions 06/07/2010 9

 SIMULADO 1
MCSO
46. O que pode ser considerado uma limitação do NAT (Network Address Translation) estático em
comparação com o dinâmico?

a) Só permite a conversão de conexões abertas para as portas privilegiadas do TCP/IP.

b) Todas as máquinas a serem convertidas precisam estar localizadas em um mesmo segmento
da rede.
c) O campo de dados do pacote não pode ser cifrado.
d) Quando usado na tradução de pacotes saindo de uma rede inválida, um endereço válido é
necessário para cada endereço inválido sendo convertido.

47. Qual dos seguintes protocolos pode ser utilizado para autenticar usuários em uma rede Wi-Fi?

a) WEP (Wireless Equivalent Privacy).

b) WPA (Wi-Fi Protected Access).
c) WPA2 (Wi-Fi Protected Access 2).
d) EAP-TLS (Extensible Authentication Protocol-Transport Layer Security).

48. “Uma prática comum de segurança é replicar as informações de log dos servidores para uma
máquina dedicada (Syslog Host)”. A afirmação é:

a) Falsa, pois expõe os logs de outros servidores em caso de invasão.

b) Verdadeira, pois isola os logs em caso de invasão.
c) Falsa, pois aumenta o número de arquivos de log analisados.
d) Verdadeira, pois separa os logs do sistema de logs de uma invasão.

49. Qual dos seguintes protocolos oferece single sign-on?

a) LM (Lan Manager).
b) NTLM (NT Lan Manager).
c) NTLMv2 (NT Lan Manger version 2).
d) Kerberos.

50. Qual das opções abaixo melhor descreve o conceito do reference monitor?

a) Um mecanismo utilizado para autenticar os usuários.

b) Um componente da arquitetura dos sistemas operacionais responsável por mediar as
operações de controle de acesso.
c) A implementação do security kernel do sistema operacional.
d) É um componente que só existe em sistemas que implementam Mandatory Access Control
(MAC).

Módulo Security Solutions 06/07/2010 10